Provando que nem sempre a grama do vizinho é mais verde, pesquisadores do Google Project Zero encontraram duas falhas nos apps de chamadas virtuais do Zoom. O programa de conferências, tal como o Microsoft Teams, é concorrente direto do Google Meet, e recebeu alta adesã com a intensificação da pandemia.
As vulnerabilidades, CVE-2021-34423 e CVE-2021-34424, receberam nota 7,3 no ranking CVSS de periculosidade das ameaças cibernéticas, um número considerado alto. Ambas as falhas ainda estão em estudo pela fabricante do aplicativo e não possuem correções anunciadas até o momento.
Os problemas são localizados em versões tanto nas versões Windows e MacOS quanto Android e iOS dos programas Zoom Client, Rooms, e do app de controle de conferências. Versões do kit de desenvolvimento e conector On-Premise nestes sistemas também são afetados.
Falhas no Zoom estão ligadas a uso de memória
Descobertas pela pesquisadora do Google, Natalie Silvanovich, as duas falhas envolvem problemas de usabilidade do Zoom que podem ser abusados em espionagem. Ambas estão localizadas na administração de memória pelo aplicativo.
O primeiro deles, CVE-2021-34423, é uma vulnerabilidade de estouro de buffer (buffer overflow), que é quando um programa não consegue armazenar todos os dados na memória temporária. Na prática, isso pode conceder a agência do programa a um hacker, que pode fechar o programa, ou ainda, rodar código arbitrário neste cenário.
A segunda vulnerabilidade, CVE-2021-34424, permite que determinados usuários possam ver o estado da memória de processamento. “Esse problema pode ser usado potencialmente para conseguir detalhes em áreas arbitrárias da memória do produto”, afirma o aviso.
Imagem: Yalcin Sonat/Shutterstock
Leia mais:
- Tardigrade: malware hiper-avançado que muda de forma e toma decisões sozinho atinge indústria de biotecnologia
- Emotet: malware “mais perigoso do mundo” retorna com tudo
- FluBot, o malware que se espalha por SMS “como gripe”, infectou 70 mil celulares em 24 horas
Já assistiu aos nossos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!