Multiple vulnerabilități identificate în Zoom
Sursă: https://cybersecuritynews.com
Zoom a emis mai multe buletine de securitate în care detaliază patch-uri pentru mai multe vulnerabilități care afectează aplicațiile sale Workplace.
Buletinele evidențiază două vulnerabilități cu grad de severitate high, alături de alte vulnerabilități cu grad de severitate mediu, subliniind provocările continue în ceea ce privește securizarea instrumentelor de videoconferință utilizate de milioane de utilizatori.
Cele mai urgente preocupări provin din ZSB-25043 și ZSB-25042, ambele evaluate ca având un grad de severitate high. În Zoom Workplace pentru Android, o eroare de tip improper authorization handling (CVE-2025-64741) ar putea permite atacatorilor să ocolească controalele de acces, permițând acțiuni neautorizate în cadrul aplicației, cum ar fi participarea la întâlniri fără permisiune sau accesarea datelor sensibile ale sesiunii.
Această vulnerabilitate afectează versiunile Android anterioare celui mai recent patch, unde verificările necorespunzătoare ale permisiunilor ar putea permite atacatorilor rău intenționați să manipuleze privilegiile utilizatorilor în rețea.
În mod similar, Zoom Workplace VDI Client pentru Windows este afectat de verificarea necorespunzătoare a semnăturilor criptografice (CVE-2025-64740), permițând atacuri precum acceptarea actualizărilor modificate sau interceptarea comunicațiilor.
Acestea sunt completate de alte două vulnerabilități de tip path manipulation cu grad de severitate mediu. ZSB-25041 afectează diverși clienți Zoom care dețin control extern asupra numelui sau căii de acces a fișierelor (CVE-2025-64739), permițând atacatorilor să redirecționeze operațiunile cu fișiere către locații neautorizare, riscând scurgerea de date sau executarea de cod arbitrar dacă sunt exploatate împreună cu alte vulnerabilități.
O problemă similară în Zoom Workplace pentru macOS (ZSB-25040, CVE-2025-64738) prezintă același risc, atacatorii putând utiliza input-uri malițioase pentru a naviga prin directoare și a suprascrie fișiere critice.
Buletinele sunt completate de ZSB-25015, un aviz actualizat din aprilie 2025, care vizează acum dereferențierile pointerilor null în aplicațiile Zoom Workplace pentru Windows (CVE-2025-30670 și CVE-2025-30671).
Zoom recomandă actualizarea imediată la cele mai recente versiuni pe toate platformele afectate, inclusiv Android, Windows, macOS și clienții VDI, pentru a reduce aceste riscuri.
Sursă: https://cybersecuritynews.com/zoom-security-vulnerabilities/
