Исследователи в области информационной безопасности обнаружили две серьезные уязвимости в клиентах Zoom для Windows, которые могут привести к атакам типа «отказ в обслуживании» (DoS). Обе проблемы классифицируются как классические переполнения буфера, что потенциально позволяет авторизованному пользователю с доступом к сети нарушить работу сервиса. Уязвимости получили средний уровень опасности, и компания Zoom уже выпустила обновления для их устранения.
Переполнение буфера - это ошибка, возникающая, когда программа записывает в буфер больше данных, чем он может вместить. Это может привести к повреждению данных, аварийному завершению работы приложения или даже выполнению злоумышленником произвольного кода. В случае с Zoom для Windows эксплуатация этих уязвимостей может привести к DoS-атакам, из-за которых сервис станет недоступен для законных пользователей.
Подробная информация об уязвимостях
Первая уязвимость получила идентификатор CVE-2025-49464 и оценку CVSS 6.5. Она затрагивает такие продукты, как Zoom Workplace для Windows версий ниже 6.4.0, Zoom Workplace VDI для Windows версий ниже 6.3.10 (за исключением 6.1.7 и 6.2.15), Zoom Rooms для Windows версий ниже 6.4.0, Zoom Rooms Controller для Windows версий ниже 6.4.0, а также Zoom Meeting SDK для Windows версий ниже 6.4.0.
Вторая уязвимость, обозначенная как CVE-2025-46789, также имеет оценку CVSS 6.5. Она присутствует в Zoom Workplace для Windows версий ниже 6.4.5, Zoom Workplace VDI для Windows версий ниже 6.3.12 (кроме 6.2.15), Zoom Rooms для Windows версий ниже 6.4.5, Zoom Rooms Controller для Windows версий ниже 6.4.5 и Zoom Meeting SDK для Windows версий ниже 6.4.5.
Обе уязвимости были обнаружены независимым исследователем под псевдонимом «fre3dm4n» и официально опубликованы в бюллетенях безопасности ZSB-25028 и ZSB-25024 8 июля 2025 года. Это не первый случай, когда в Zoom находят критические уязвимости - ранее платформа уже сталкивалась с проблемами безопасности, связанными с шифрованием и утечками данных.
Затронутые продукты включают не только базовый клиент Zoom для Windows, но и дополнительные решения, такие как Zoom Workplace VDI (предназначенный для виртуальных рабочих столов) и Zoom Rooms (системы для конференц-залов). Это делает проблему особенно актуальной для корпоративных пользователей, полагающихся на Zoom для проведения совещаний и удаленного взаимодействия.
Компания Zoom настоятельно рекомендует всем пользователям и администраторам обновить клиентские приложения до последних версий, доступных на официальном сайте загрузки. Это позволит минимизировать риски эксплуатации уязвимостей и предотвратить возможные атаки.
Несмотря на то, что для успешной атаки злоумышленнику требуется авторизованный доступ, потенциальные последствия могут быть серьезными. DoS-атаки способны парализовать работу организаций, особенно если Zoom используется для критически важных операций, таких как онлайн-конференции, корпоративные звонки или удаленное обучение.
Быстрое реагирование Zoom и ответственное разглашение информации со стороны исследователя подчеркивают важность постоянного мониторинга безопасности программного обеспечения. Производители должны оперативно устранять уязвимости, а пользователям следует своевременно устанавливать обновления, чтобы минимизировать риски.
Эксперты советуют не ограничиваться обновлением Zoom, но и проверять другие установленные программы, поскольку переполнение буфера - распространенный тип уязвимостей, который может присутствовать и в других приложениях. Регулярный аудит безопасности и применение принципа минимальных привилегий также помогут снизить вероятность успешных атак.
В условиях, когда видеоконференцсвязь стала неотъемлемой частью бизнес-процессов, обеспечение безопасности подобных платформ становится критически важным. Компании, использующие Zoom, должны отнестись к данному вопросу серьезно и принять все необходимые меры для защиты своих данных и инфраструктуры.
