Un investigador ha descubierto una vulnerabilidad grave de secuencias de comandos en sitios cruzados (XSS) en la aplicación Zoom Whiteboard. Zoom solucionó la falla a tiempo, evitando cualquier explotación maliciosa.
Vulnerabilidad de la pizarra Zoom
Al compartir los detalles en una publicación de blog, Eugene Lim, también conocido como Spaceraccoon, explicó una vulnerabilidad de secuencias de comandos entre sitios en la aplicación Zoom Whiteboard.
Zoom Whiteboard es una característica relativamente nueva lanzada a principios de 2022 con Zoom versión 5.10.3 como una plataforma interactiva para que los usuarios compartan presentaciones, ideas, conferencias, etc., con imágenes creativas como bocetos dibujados a mano. Para admitir estas funciones, la plataforma admite diferentes objetos, como formas, textos, texto enriquecido, imágenes y notas adhesivas. Esta funcionalidad de comunicación casi en tiempo real se logra utilizando JavaScript y un navegador integrado. Tanto la versión web como la de cliente nativo de Zoom admiten esta función.
Al escanear el código del lado del cliente para esta función, el investigador resaltó el búfer de protocolo (protobuf) como el área clave que activa XSS. Protocol Buffer es un mecanismo multiplataforma de código abierto e independiente del lenguaje para serializar datos estructurados. Facilita el desarrollo de programas mediante la comunicación a través de una red o para el almacenamiento de datos.
En Zoom Whiteboard, los búferes de protocolo transfieren objetos ClipboardItem desde el Portapapeles a través de Websocket desde el cliente al servidor. En pocas palabras, pasa los datos pegados «tal cual» al servidor. Aquí es donde el investigador observó un XSS, especialmente al transferir objetos HTML.
Mientras el cliente transforma el objeto protobuf en un componente React, donde React sanea automáticamente el HTML, el investigador observó que algunas etiquetas aún escapan a la sanitización.
Lim demostró esta falla agregando un script al Portapapeles, pegando lo que activó el XSS ya que escapó de la desinfección.
Zoom arregló la falla
Después de descubrir el error, el investigador reveló la vulnerabilidad a los funcionarios de Zoom el 28 de julio de 2022. Agradeció la rápida respuesta de Zoom, que rápidamente evaluó el error y lanzó un parche el 21 de agosto de 2022.
Dado que el parche ya se lanzó, los usuarios de Zoom ya deben haber recibido las correcciones de errores. Aún así, es mejor asegurarse de que sus dispositivos estén ejecutando las últimas versiones de Zoom.
