Критичну уразливість у клієнті Zoom для Windows, яка дозволяла зловмисникам отримати повний контроль над пристроєм без автентифікації, вже виправлено. Компанія закликає користувачів встановити оновлення негайно.
Критичну уразливість у клієнті Zoom для Windows, яка дозволяла зловмисникам отримати повний контроль над пристроєм без автентифікації, вже виправлено. Компанія закликає користувачів встановити оновлення негайно.
У застосунку Zoom для Windows виявили проблему, яка полягала у некоректному використанні повних шляхів під час завантаження динамічних бібліотек (DLL). Це давало можливість підмінити бібліотеку шкідливою, яку програма могла виконати, якщо вона опинялася у «довіреному» місці. Про це повідомляє TechRadar.
Якщо така DLL запускала бекдор чи програму-вимагач, а Zoom працював з підвищеними привілеями, зловмисники могли б отримати доступ до всієї системи. Уразливість також відкривала шлях до викрадення записів зустрічей, списків контактів, облікових даних та навіть проникнення в корпоративну мережу, включно з доступом до контролерів домену.
Небезпека полягала ще й у тому, що для атаки не потрібна автентифікація, а її складність вважалася низькою. Уразливість CVE-2025-49457 отримала 9,6 бала з 10 за критичністю.
Проблема зачепила Zoom Workplace для Windows до версії 6.3.10, Zoom Workplace VDI (крім 6.1.16 та 6.2.12), Zoom Rooms і Zoom Rooms Controller до 6.3.10, а також Zoom Meeting SDK для Windows до 6.3.10.
Компанія вже випустила патч, і експерти радять встановити його якнайшвидше. Широке використання Zoom у бізнес-середовищі, особливо після пандемії COVID-19, робить подібні уразливості серйозною загрозою, тож оновлення застосунків варто проводити одразу після виходу виправлень.
Нагадаємо, у нас також виходив матеріал про те, як у 2025 році група BlueNoroff, фінансове крило Lazarus Group, що пов’язане з КНДР, почала використовувати платформу Zoom як інструмент атак. Зловмисники маскуються під бізнес-партнерів і через підроблені відеодзвінки встановлюють шкідливе ПЗ, яке краде криптовалюту та інші фінансові дані.
