As atualizações de segurança do Zoom e do Chrome lançadas na terça-feira (12/11) corrigem mais de uma dúzia de vulnerabilidades que afetam usuários em plataformas de desktop.
O Zoom anunciou correções para seis vulnerabilidades de segurança, incluindo dois problemas de alta gravidade que podem permitir que invasores remotos aumentem privilégios ou vazem informações confidenciais.
O primeiro bug, rastreado como CVE-2024-45421 (pontuação CVSS de 8,5), é descrito como um problema de estouro de buffer que requer autenticação para exploração bem-sucedida.
A segunda falha, rastreada como CVE-2024-45419 (pontuação CVSS de 8,1), é um problema de validação de entrada imprópria que pode ser explorada pela rede, sem autenticação.
Ambas as vulnerabilidades afetam o Zoom Workplace App, Rooms Client, Rooms Controller, Video SDK e Meeting SDK anteriores à versão 6.2.0 em plataformas de desktop e móveis, e o Workplace VDI Client para Windows antes da versão 6.1.12 (exceto 6.0.14).
Dois outros bugs, ambos de gravidade média, são descritos como problemas de validação de entrada imprópria e consumo descontrolado de recursos que podem ser explorados para causar condições de negação de serviço (DoS).
As duas falhas restantes, também de gravidade média, afetam o instalador de alguns aplicativos Zoom para macOS antes da versão 6.1.5 e podem levar à escalada de privilégios ou divulgação de informações.
Os usuários são aconselhados a atualizar suas instalações o mais rápido possível. Informações adicionais podem ser encontradas na página de boletins de segurança do Zoom.
Na terça-feira (12/11), o Google anunciou a atualização do Chrome 131 para o canal estável com patches para 12 vulnerabilidades, incluindo oito relatadas por pesquisadores externos.
A mais grave das falhas relatadas externamente é um bug de implementação inapropriada de alta gravidade no Blink, rastreado como CVE-2024-11110, que foi relatado no mês passado.
A atualização mais recente do navegador também resolve seis problemas de gravidade média, incluindo implementações inapropriadas no Autofill, Views e Paint, bugs de uso após liberação em Media e Accessibility e uma falha de aplicação de política insuficiente na Navigation. Uma implementação inapropriada de baixa gravidade no FileSystem também foi resolvida.
O Google diz que pagou uma recompensa de US$ 1.000 pela implementação inapropriada no Autofill, mas não divulgou as recompensas de recompensa por bug a serem distribuídas para os outros sete defeitos de segurança.
A versão mais recente do Chrome está sendo lançada como versões 131.0.6778.69/.70 para Windows e macOS, e como versão 131.0.6778.69 para Linux.
Para saber mais, clique aqui.
