This post is also available in: Português
Uma nova vulnerabilidade do software de videoconferência Zoom surgiu e ganhou os holofotes. Trata-se de um problema que poderia permitir que um invasor executasse um código arbitrário no computador de uma vítima que utilize o Microsoft Windows 7 ou mais antigo. Aí, teria acesso a diversas informações confidenciais salvas no computador.
Para explorar com êxito a vulnerabilidade, tudo que um invasor precisava era convencer um usuário de Zoom a executar algumas ações simples, como abrir um arquivo enviado através do programa. Nenhum aviso de segurança era acionado ou mostrado ao usuário no momento do ataque.
A vulnerabilidade foi descoberta por um pesquisador que preferiu o anonimato. Ele comunicou o fato à Acros Security, uma empresa de segurança europeia, que então informou a equipe do Zoom sobre a falha.
Embora o problema esteja presente em todas as versões suportadas para Windows, ele só funciona no 7 ou os mais antigos – devido a algumas características específicas desse sistema operacional. É provável que também seja explorável no Windows Server 2008 R2 e versões anteriores, algo que ainda requer confirmação.
Embora a Microsoft tenha encerrado o suporte oficial ao Windows 7 em janeiro (para usuários convencionais) e incentivado os usuários a mudarem para versões mais atuais do sistema operacional, o 7 ainda é amplamente utilizado.
O que os usuários do Zoom devem fazer?
O Zoom confirmou que corrigiu a vulnerabilidade com o cliente da versão 5.1.3. Assim, os usuários devem baixar a versão mais recente o mais rapidamente possível. “Os usuários podem ajudar a manter a segurança aplicando as atualizações atuais ou baixando o software Zoom mais recente com todas as atualizações de segurança atuais no site oficial do software”, disseram os desenvolvedores em um comunicado.
Uma boa ideia é também usar versões mais atuais do Windows, como a 8 ou a 10, que possuem mais recursos de segurança do que os seus “antepassados”. Lançado em meados de 2009, o 7 pode não oferecer as ferramentas mais adequadas de defesa para os dias de hoje.
Inclusive, a Microsoft no momento dá suporte pago a ele apenas nas versões Professional e Enterprise no Licenciamento por Volume – e com data para acabar: janeiro de 2023.
Quanto ao Zoom, devido à pandemia, o uso disparou nos últimos meses. Está sendo usado não apenas por empresas, mas também por milhões de pessoas em todo o mundo, seja em aulas, negócios ou vida social.
Problemas de segurança já virou saga
Preocupa o fato de que o software apresenta problemas de segurança com tanta frequência. Inclusive, a Agência Nacional de Vigilância Sanitária (Anvisa) chegou a interromper o uso entre os seus colaboradores, por receio de possíveis falhas de segurança graves na ferramenta. Escolas de Nova York fizeram o mesmo, bem como a SpaceX, empresa privada de exploração espacial que tem Elon Musk como diretor-presidente.
No mês passado, o Zoom abordou duas vulnerabilidades críticas em seu software de videoconferência para computadores Windows, macOS ou Linux. Tais falhas poderiam permitir que hackers invadissem remotamente os sistemas de participantes de bate-papo em grupo ou de um destinatário individual.
Em abril, uma série de problemas foi descoberta, o que levou a preocupações sobre privacidade e segurança em torno do software de videoconferência entre milhões de usuários.
No início deste ano, o Zoom também corrigiu um grave erro de privacidade, que poderia permitir que pessoas não convidadas participassem de reuniões privadas e espionassem remotamente áudio, vídeo e documentos sigilosos compartilhados durante a sessão. Resta agora esperar que a mais recente falha seja em breve conhecida como a última de tantas.
This post is also available in: Português
