Spoločnosť Zoom vydala bezpečnostné aktualizácie na svoje portfólio produktov, ktoré opravujú kritickú bezpečnostnú zraniteľnosť. Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2025-49457 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom podvrhnutia špeciálne vytvoreného odkazu alebo špeciálne vytvorených súborov eskalovať svoje privilégiá a vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Zneužitie zraniteľnosti vyžaduje interakciu používateľa. Bezpečnostná zraniteľnosť zasahuje iba verzie produktov pre operačný systém Windows. Zraniteľnosť môže útočníkovi umožniť vykonať škodlivý kód a získať vyššie úrovne oprávnení v systéme. V dôsledku toho môže dôjsť k úplnému narušeniu dôvernosti, integrity aj dostupnosti systému.
Zasiahnuté systémy:
Zoom Workplace for Windows vo verzii staršej ako 6.3.10
Zoom Workplace VDI for Windows vo verzii staršej ako 6.3.10
Zoom Rooms for Windows vo verzii staršej ako 6.3.10
Zoom Rooms Controller for Windows vo verzii staršej ako 6.3.10
Zoom Meeting SDK for Windows vo verzii staršej ako 6.3.10
Odporúčame:
Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky.
Viac informácií nájdete tu:
https://www.zoom.com/en/trust/security-bulletin/zsb-25030/?lang=null
https://cybersecuritynews.com/zoom-clients-for-windows-vulnerability-aug