Vulnerabilidad en Zoom permite que otros usuarios accedan a aplicaciones restringidas
Una vulnerabilidad recientemente descubierta en la función de compartir pantalla de Zoom puede filtrar accidentalmente información confidencial a otros participantes en una reunión.
La vulnerabilidad ha sido identificada como CVE-2021-28133 y aún está sin parche. Esta permite revelar el contenido de aplicaciones que no se comparten, pero solo brevemente, lo que dificulta su explotación en el entorno.
Vale la pena señalar que la funcionalidad de compartir pantalla en Zoom permite a los usuarios compartir una pantalla completa de escritorio o teléfono. También permite limitar el uso compartido a una o más aplicaciones específicas, o una parte de una pantalla. La vulnerabilidad se debe al hecho de que una segunda aplicación que se superpone a una aplicación ya compartida puede revelar su contenido durante un breve período de tiempo.
“El problema ocurre cuando un usuario de Zoom comparte una ventana de una aplicación específica a través de la funcionalidad ‘compartir pantalla’. En ese momento, otros participantes de la reunión pueden ver brevemente contenidos de otras ventanas de aplicaciones que no se compartían de forma explícita”. “El contenido de las ventanas de aplicaciones no compartidas puede verse. Por ejemplo, otros usuarios pueden ver durante un corto período de tiempo cuando esas ventanas se superponen a la ventana de la aplicación compartida”.
Michael Strametz y Matthias Deeg – investigadores de SySS
