La posible víctima ni siquiera tiene que hacer clic en enlaces sospechosos.

Las aplicaciones de videoconferencia intercambian datos continuamente a través de la red, por lo que un error en el procesamiento del tráfico entrante puede afectar una cuenta incluso sin acciones del propietario. Zoom publicó actualizaciones urgentes para Windows que corrigen una vulnerabilidad crítica con una puntuación de 9.8 sobre 10 según la escala CVSS 3.1.
El problema identificado como CVE-2026-53412 afecta a Zoom Desktop Client y a Zoom VDI para Windows. Anteriormente la lista de productos afectados incluía también Meeting SDK para Windows, pero Zoom posteriormente excluyó el kit de desarrollo del aviso. Los clientes para macOS, Linux, iOS y Android no están afectados por la vulnerabilidad.
El error está relacionado con una comprobación insuficiente de los datos que la aplicación recibe por la red. Un atacante sin cuenta ni privilegios puede enviar datos especialmente diseñados y tomar el control de una cuenta. El ataque no requiere hacer clic en un enlace, abrir un archivo adjunto ni otra interacción del usuario, y Zoom evaluó la complejidad de explotación como baja.
Una cuenta comprometida puede dar acceso a reuniones, chats, grabaciones y datos del perfil. El atacante también podrá suplantar al propietario de la cuenta. Zoom no reveló detalles técnicos ni informó sobre casos de explotación de la vulnerabilidad en ataques reales.
El problema fue descubierto por el equipo interno Zoom Offensive Security. Además de la vulnerabilidad crítica, la empresa corrigió otras tres vulnerabilidades graves en productos para Windows, incluidas fallas en la administración de privilegios y en el procesamiento de datos de entrada.
Se recomienda a los usuarios de Zoom en Windows que instalen las últimas versiones de Zoom Desktop Client y Zoom VDI. La actualización debe obtenerse a través del mecanismo integrado de la aplicación o desde el sitio oficial de Zoom.