Компания Zoom выпустила срочные обновления безопасности, закрывающие три опасные уязвимости в программном обеспечении для Windows и iOS. Наиболее серьёзная из них позволяет аутентифицированному злоумышленнику (пользователю, уже имеющему учётную запись в системе) получить административные привилегии. Это открывает путь к отключению средств защиты, похищению корпоративных данных или внедрению программ-вымогателей.
Уязвимости в Zoom Rooms и Workplace для Windows
Первая проблема зафиксирована в продукте Zoom Rooms для Windows. Она получила идентификатор CVE-2026-30906 (стандартный номер уязвимости в международной базе) и оценку 7,8 балла по шкале CVSS (система оценки критичности уязвимостей, где 10 - максимальный риск). Причина кроется в недоверенном пути поиска: установщик программы обращается к каталогам, которые может подменить локальный пользователь. Если злоумышленник уже имеет обычный доступ к машине, он способен использовать эту слабость для повышения своих полномочий до уровня администратора. Уязвимость затрагивает все версии Zoom Rooms для Windows до 7.0.0 включительно.
Вторая серьёзная ошибка, обнаруженная исследователем под псевдонимом "sim0nsecurity", затрагивает подключаемый модуль Zoom Workplace VDI (средство для работы с виртуальными рабочими столами) для Windows. Она также оценена в 7,8 балла и обозначена как CVE-2026-30905. Суть в том, что универсальный установщик Windows неправильно обрабатывает внешние имена файлов и путей. Поэтому локальный аутентифицированный пользователь может спровоцировать эскалацию привилегий, аналогичную предыдущему случаю. Проблема существует в версии модуля 6.6.10, и для защиты необходима установка версии 6.6.11 или более новой.
Обе эти уязвимости называются "повышением привилегий" (privilege escalation) и считаются особо ценными для хакеров, которые стремятся закрепиться в сети компании и перемещаться между системами. Получив права администратора, злоумышленник способен отключать антивирусы, красть базы данных или запускать программы-вымогатели.
Менее опасная, но неприятная уязвимость на iOS
Пользователи мобильных устройств также затронуты обновлениями. В приложении Zoom Workplace для iOS обнаружена ошибка CVE-2026-30904 с низкой оценкой 1,8 балла. Она связана со сбоем механизма защиты, что может привести к несанкционированному раскрытию информации. Для атаки злоумышленнику требуется физический доступ к устройству жертвы, поэтому непосредственная угроза невелика. Тем не менее это нарушение приватности, которое может быть использовано при определённых обстоятельствах, например, если телефон оставлен без присмотра. Проблема затрагивает все версии приложения старее 7.0.0. Исследователь под псевдонимом "errorsec_" сообщил о данной уязвимости.
Контекст и последствия
Все три уязвимости были раскрыты в рамках планового цикла обновлений. Наибольшую опасность представляют ошибки повышения привилегий для Windows. Они позволяют злоумышленникам, уже имеющим локальный доступ (например, через скомпрометированную учётную запись сотрудника или после фишинговой атаки), расширить свои возможности до административных. В корпоративных сетях это чревато быстрым распространением вредоносного ПО и крупными утечками данных.
Особое внимание стоит обратить на уязвимость в Zoom Rooms. Этот продукт часто используется в переговорных комнатах и конференц-залах, где к системе может иметь доступ широкий круг сотрудников или даже внешних посетителей. Если кто-то из них сумеет запустить вредоносный код с обычными правами, он затем сможет повысить привилегии и получить контроль над устройством, а оттуда - двигаться глубже по сети.
В случае с Zoom Workplace VDI Plugin угроза актуальна для компаний, использующих виртуальные рабочие столы. Такие среды часто предоставляют ограниченные права пользователям, но данная уязвимость позволяет обойти эти ограничения.
Что делать?
Zoom настоятельно рекомендует всем пользователям - как домашним, так и корпоративным - обновить программное обеспечение до последних версий. Новые сборки уже доступны для скачивания на официальном сайте Zoom. Администраторам следует незамедлительно обновить Zoom Rooms для Windows до версии 7.0.0 или выше, установить модуль Zoom Workplace VDI Plugin версии 6.6.11 или новее, а также обновить приложение Zoom Workplace для iOS до версии 7.0.0.
Примечательно, что компания выпустила исправления вскоре после обнаружения ошибок, что свидетельствует о стандартном цикле ответственного раскрытия уязвимостей. Однако, учитывая высокие оценки CVSS для двух проблем, медлить с установкой патчей не стоит. Даже локальная уязвимость повышения привилегий может стать стартовой точкой для серьёзной атаки, если её соединить с другими техниками взлома. Поэтому обновления необходимо развернуть как можно быстрее, особенно на критичных для бизнеса узлах.
Для обычных пользователей риск минимален, если они не работают в крупной организации с общими рабочими станциями. Тем не менее, обновления мобильного приложения также стоит установить, чтобы исключить даже маловероятную утечку личных данных.
Ссылки
- https://www.zoom.com/en/trust/security-bulletin/zsb-26008/
- https://www.zoom.com/en/trust/security-bulletin/zsb-26007/
- https://www.zoom.com/en/trust/security-bulletin/zsb-26006/
