Una falla recientemente descubierta en la función de compartir pantalla de Zoom puede filtrar accidentalmente información confidencial a otros asistentes en una llamada, según los últimos hallazgos.
Rastreada como CVE-2021-28133 , la vulnerabilidad de seguridad sin parche permite revelar el contenido de las aplicaciones que no se comparten, pero solo brevemente, lo que dificulta su explotación en la naturaleza.
Vale la pena señalar que la funcionalidad para compartir pantalla en Zoom permite a los usuarios compartir una pantalla completa de escritorio o teléfono, o limitar el uso compartido a una o más aplicaciones específicas, o una parte de una pantalla. El problema se debe al hecho de que una segunda aplicación superpuesta sobre una aplicación ya compartida puede revelar su contenido durante un breve período de tiempo.
«Cuando un usuario comparte una ventana de zoom aplicación específica a través de la funcionalidad ‘cuota de pantalla’, otros participantes de la reunión pueden ver brevemente contenidos de otras ventanas de aplicaciones que no se compartían de forma explícita,» SySS investigadores Michael Strametz y Matthias Deeg señalaron . «El contenido de las ventanas de aplicaciones no compartidas puede, por ejemplo, ser visto por otros usuarios durante un corto período de tiempo cuando esas ventanas se superponen a la ventana de la aplicación compartida y se enfocan».
Se dice que la falla, que se probó en las versiones 5.4.3 y 5.5.4 en clientes de Windows y Linux, se reveló a la compañía de videoconferencia el 2 de diciembre de 2020. La falta de una solución, incluso después de tres meses, podría atribuirse en parte a la dificultad de aprovechar la vulnerabilidad.
Pero, no obstante, esto podría tener serias consecuencias dependiendo de la naturaleza de los datos compartidos inadvertidamente, advirtieron los investigadores, agregar un participante malintencionado de una reunión de Zoom puede aprovechar la debilidad al hacer uso de una herramienta de captura de pantalla para grabar la reunión y la reproducción. la grabación para ver la información privada.
Cuando se buscó una respuesta, un portavoz de Zoom dijo que está trabajando para abordar el problema. «Zoom se toma muy en serio todos los informes de vulnerabilidades de seguridad», dijo la compañía a The Hacker News por correo electrónico. «Somos conscientes de este problema y estamos trabajando para resolverlo».
