Se ha descubierto una vulnerabilidad Zero-Day en la aplicación de Zoom para Windows, que permite ejecutar código arbitrario en el ordenador de la víctima. El ataque no desencadena una advertencia de seguridad y se desencadena consiguiendo que el usuario abra un archivo o documento recibido.
La vulnerabilidad fue descubierta por un investigador no identificado e informó a 0patch, quien informó a Zoom. La vulnerabilidad en todas las versiones compatibles del cliente Zoom para Windows, y el equipo de 0patch creó un microparche para solventar la vulnerabilidad.
Este error solo se puede explotar en clientes instalados en Windows 7 y anteriores, debido a una propiedad específica del sistema. Es probable que la falla también sea explotable en Windows Server 2008 R2 y versiones anteriores, aunque no ha sido probado. Si bien el soporte oficial de Microsoft para Windows 7 ha finalizado este enero, todavía hay millones de usuarios y empresas que prolongan su uso.
Hasta que Zoom publique una solución, los pasos a seguir para los usuarios que desean mantenerse seguros son:
- Dejar temporalmente de usar Zoom
- Actualizar Windows a una versión más nueva