Pesquisadores do Google encontraram duas falhas no app de conferências do Zoom

Tudo sobre Google

Provando que nem sempre a grama do vizinho é mais verde, pesquisadores do Google Project Zero encontraram duas falhas nos apps de chamadas virtuais do Zoom. O programa de conferências, tal como o Microsoft Teams, é concorrente direto do Google Meet, e recebeu alta adesã com a intensificação da pandemia.

As vulnerabilidades, CVE-2021-34423 e CVE-2021-34424, receberam nota 7,3 no ranking CVSS de periculosidade das ameaças cibernéticas, um número considerado alto. Ambas as falhas ainda estão em estudo pela fabricante do aplicativo e não possuem correções anunciadas até o momento.

Os problemas são localizados em versões tanto nas versões Windows e MacOS quanto Android e iOS dos programas Zoom Client, Rooms, e do app de controle de conferências. Versões do kit de desenvolvimento e conector On-Premise nestes sistemas também são afetados.

Falhas no Zoom estão ligadas a uso de memória

Descobertas pela pesquisadora do Google, Natalie Silvanovich, as duas falhas envolvem problemas de usabilidade do Zoom que podem ser abusados em espionagem. Ambas estão localizadas na administração de memória pelo aplicativo.

O primeiro deles, CVE-2021-34423, é uma vulnerabilidade de estouro de buffer (buffer overflow), que é quando um programa não consegue armazenar todos os dados na memória temporária. Na prática, isso pode conceder a agência do programa a um hacker, que pode fechar o programa, ou ainda, rodar código arbitrário neste cenário.

A segunda vulnerabilidade, CVE-2021-34424, permite que determinados usuários possam ver o estado da memória de processamento. “Esse problema pode ser usado potencialmente para conseguir detalhes em áreas arbitrárias da memória do produto”, afirma o aviso.

Imagem: Yalcin Sonat/Shutterstock

Pesquisadores do Google encontraram duas falhas no app de conferências do Zoom

Falhas no Zoom estão ligadas a uso de memória

Leia mais: