A Zoom emitiu um comunicado de segurança urgente sobre uma falha no cliente Zoom que pode permitir que um usuário obtenha privilégios e acessos de nível superior para os quais não está autorizado.
Clientes Zoom e funções de usuário
O cliente web Zoom é o que os usuários usam para acessar uma reunião.
A autorização inadequada em um cliente Zoom é uma falha de segurança que permite aos usuários obter acesso a funcionalidades ou dados para os quais não estão autorizados com base nos níveis de privilégio de usuário atribuídos a eles.
Existem três níveis de acesso chamados funções de usuário no Zoom. As funções de usuário definem se um usuário possui os privilégios necessários para executar ações específicas ou acessar vários recursos de dados.
Os três níveis são:
- Proprietário: Nível de privilégio mais alto que tem acesso a tudo
- Administrador: pode adicionar, remover ou editar usuários, além de gerenciar recursos da conta.
- Membros: a função de usuário mais baixa. Só pode gerenciar suas próprias configurações de perfil
Clientes Zoom – Autorização Indevida
O alerta de segurança do Zoom alertou que os usuários podem aumentar seus privilégios de função de usuário.
De acordo com o comunicado de segurança:
“A autorização inadequada em alguns clientes Zoom pode permitir que um usuário autorizado conduza uma escalada de privilégios por meio de acesso à rede.”
Esta vulnerabilidade é atenuada até certo ponto, pois um usuário deve primeiro ser autorizado na rede para poder passar para a próxima etapa de escalonamento de privilégios de usuário. Talvez seja por isso que o problema de segurança recebeu uma classificação de gravidade média com uma pontuação de 5,5/10.
Lista de clientes Zoom afetados
- Zoom Desktop Client para Windows antes da versão 5.16.0
- Zoom Desktop Client para macOS antes da versão 5.16.0
- Zoom Mobile App para iOS antes da versão 5.16.0
- Zoom Mobile App para Android antes da versão 5.16.0
- Zoom Desktop Client para Linux antes da versão 5.16.0
- Cliente Zoom Rooms para Windows antes da versão 5.16.0
- Cliente Zoom Rooms para macOS anterior à versão 5.16.0
- Cliente Zoom Rooms para Android antes da versão 5.16.0
- Cliente Zoom Rooms para iPad antes da versão 5.16.0
- Cliente Zoom VDI anterior à versão 5.16.0 (excluindo 5.14.13 e 5.15.11)
- Zoom Meeting SDK para Windows antes da versão 5.16.0
- Zoom Meeting SDK para iOS antes da versão 5.16.0
- Zoom Meeting SDK para Android antes da versão 5.16.0
- Zoom Meeting SDK para macOS antes da versão 5.16.0
- Zoom Meeting SDK para Linux antes da versão 5.16.0
Atualize o Zoom Client imediatamente
Os usuários são aconselhados a atualizar seus clientes Zoom.
Zoom recomenda:
“Os usuários podem ajudar a manter-se seguros aplicando as atualizações atuais ou baixando o software Zoom mais recente com todas as atualizações de segurança atuais em https://zoom.us/download.”
Leia o boletim de segurança do Zoom:
Clientes Zoom – Autorização Indevida
Imagem em destaque da Shutterstock/Ink Drop