Компания Zoom выпустила срочное обновление безопасности для своего клиента на Windows и платформы Workplace, устраняющее несколько уязвимостей. Среди них - критическая уязвимость, которая могла позволить злоумышленникам перехватывать контроль или манипулировать работой приложения. Пользователям настоятельно рекомендуется немедленно установить патч для защиты своих систем.
Детали узявимостей
Новый выпуск включает десять бюллетеней безопасности, затрагивающих клиенты Zoom для Windows и macOS, а также платформу Workplace. Одна из уязвимостей в клиенте для Windows оценена как критическая, ещё одна в Workplace для Windows на ARM - как высокая. Остальные классифицированы как уязвимости среднего уровня.
Критическая проблема, получившая идентификатор CVE-2025-49457, связана с недочётом в механизме поиска библиотек (Untrusted Search Path) в десктопном клиенте для Windows. Злоумышленник с локальным доступом мог использовать эту слабость для загрузки вредоносного кода из непредназначенного каталога при запуске Zoom.
Вторая серьёзная уязвимость, CVE-2025-49459, имеющая высокий уровень опасности, касалась отсутствия должной проверки авторизации в Zoom Workplace для устройств на архитектуре ARM. Это также создавало потенциальные риски для конфиденциальности и целостности систем.
Эти исправления стали частью более масштабной работы, в рамках которой также устранены проблемы средней severity: состояния гонки (race conditions), недостатки контроля авторизации, межсайтовый скриптинг (XSS) и переполнение буфера в средах Zoom для Windows, macOS, iOS, Linux и VMware Horizon VDI.
Чтобы обезопасить свою установку Zoom, пользователям Windows следует открыть десктопный клиент, нажать на значок профиля, выбрать «Проверить наличие обновлений» и следовать инструкциям на экране. Это установит последнюю версию, содержащую исправление уязвимости в поиске путей. Администраторам платформы Workplace необходимо войти в консоль управления Zoom Workplace, перейти в раздел безопасности и применить ожидающее обновление для устройств на Windows ARM.
Владельцам устройств на macOS, Linux и iOS также рекомендуется обновить клиенты через официальные магазины приложений или менеджеры пакетов. Хотя в этих версиях не обнаружено критических уязвимостей, они содержат исправления среднего уровня, которые в определённых условиях могут представлять риск.
Zoom подчёркивает, что установка обновления как можно скорее является ключевым шагом для предотвращения потенциальных атак. На текущий момент нет свидетельств того, что эти уязвимости уже использовались в реальных инцидентах, однако задержка с обновлением увеличивает период возможного воздействия.
Регулярная установка обновлений и следование лучшим практикам - таким как запуск программного обеспечения с минимально необходимыми привилегиями - позволяют как организациям, так и частным пользователям поддерживать более безопасную среду для collaboration. Важно проверять подлинность обновлений, загружая их только через официальные каналы Zoom и избегая сторонних источников.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-49457
- https://www.zoom.com/en/trust/security-bulletin/zsb-25030
