Divulgaciones de seguridad recientes revelan múltiples vulnerabilidades de alta gravedad en el software cliente de Zoom, exponiendo a millones de usuarios a posibles violaciones de datos, escalada de privilegios y acceso no autorizado.
Las fallas más críticas, corregidas en el boletín de seguridad de Zoom del 11 de marzo de 2025, incluyen CVE-2025-27440 (desbordamiento de búfer basado en montón), CVE-2025-27439 (desbordamiento insuficiente de búfer), CVE-2025-0151 (uso después de liberar) y CVE-2025-0150 (orden de comportamiento incorrecto en iOS Workplace Apps), todos clasificados como de alta gravedad. con puntuaciones CVSS que oscilan entre 7,1 y 8,5.
Estas vulnerabilidades afectan las aplicaciones de escritorio, móviles y de Workplace de Zoom, permitiendo a atacantes autenticados ejecutar código arbitrario, dañar la memoria o eludir protocolos de seguridad a través del acceso a la red.
Desbordamiento de búfer basado en montón (CVE-2025-27440)
Esta falla ocurre cuando las aplicaciones Zoom escriben el exceso de datos en un búfer de memoria, sobrescribiendo regiones de memoria adyacentes. Los atacantes que aprovechen esta vulnerabilidad podrían inyectar código malicioso en sistemas que ejecutan Zoom Workplace Apps, particularmente en Windows y macOS.
Por ejemplo, un paquete de red diseñado podría desencadenar un desbordamiento del montón, permitiendo una escalada de privilegios desde el acceso de usuario estándar al nivel de administrador.
Desbordamiento insuficiente del búfer (CVE-2025-27439)
Un desbordamiento del búfer en Zoom Apps surge cuando las operaciones leen más datos de un búfer de los que contiene, lo que potencialmente bloquea la aplicación o expone contenidos confidenciales de la memoria.
Esto podría facilitar los ataques de denegación de servicio (DoS) o la fuga de datos en reuniones que utilizan clientes obsoletos.
Uso posterior a la liberación (CVE-2025-0151)
Esta falla de corrupción de memoria ocurre cuando las aplicaciones Zoom hacen referencia a una dirección de memoria después de haber sido desasignada.
Los atacantes podrían manipular la memoria liberada para ejecutar código, comprometer las claves de cifrado de reuniones o acceder a las credenciales de los usuarios.
Orden de comportamiento incorrecto en aplicaciones iOS Workplace (CVE-2025-0150)
Las aplicaciones Zoom Workplace para iOS secuencian incorrectamente las comprobaciones de seguridad, lo que permite a los atacantes interceptar tokens de autenticación o metadatos de reuniones antes de que se complete la validación.
Esta vulnerabilidad podría exponer datos a nivel empresarial en entornos de trabajo híbridos.
Verificación de datos insuficientes (CVE-2025-0149)
El CVE-2025-0149 (CVSS 6.5) de gravedad media permite a los usuarios sin privilegios enviar paquetes de red con formato incorrecto que eluden las comprobaciones de autenticidad, lo que desencadena condiciones DoS.
Esta vulnerabilidad resalta las debilidades sistémicas en los protocolos de validación de datos de Zoom, lo que afecta las aplicaciones Workplace en todas las plataformas.
Mitigaciones
El software afectado incluye:
- Clientes de escritorio Zoom para Windows, macOS y Linux (versiones anteriores a 5.15.5 y 6.2.0)
- Aplicaciones móviles de Zoom para Android e iOS (versiones anteriores a la 5.15.5)
- Clientes VDI y SDK de Zoom Meeting (versiones anteriores a la 5.14.12).
El equipo de seguridad de Zoom ha publicado parches, pero evita detallar escenarios de explotación o impactos específicos del cliente.
La compañía recomienda a todos los usuarios que actualicen a Zoom Client 6.2.0 o posterior, que incluye correcciones para 12 vulnerabilidades reveladas solo en marzo de 2025.
Recomendaciones
- Priorice las actualizaciones para Zoom Workplace, Meeting SDK y clientes VDI.
- Restrinja el tráfico de Zoom únicamente a usuarios autenticados, reduciendo la exposición a ataques basados en la red.
- Audite los registros para detectar actividades inusuales, como cambios inesperados de privilegios o bloqueos repetidos de reuniones.
- Para entornos de alto riesgo, considere herramientas de terceros que apliquen el cifrado de extremo a extremo (E2EE), del que Zoom carece de forma nativa.
Las últimas vulnerabilidades de Zoom resaltan la fragilidad de las plataformas de comunicación ampliamente adoptadas en una era de ciberataques sofisticados.
Si bien la compañía ha respondido rápidamente con parches, la recurrencia de corrupción de memoria y fallas de validación de entradas sugiere desafíos arquitectónicos más profundos.
Las organizaciones deben tratar a Zoom no como una utilidad neutral sino como un vector de alto riesgo que requiere controles estrictos, una lección subrayada por su crisis de “bombardeo de Zoom” de 2020 y las continuas limitaciones de cifrado. Mientras persista el trabajo remoto, la gestión proactiva de las vulnerabilidades sigue siendo innegociable.
