【安全圈】Zoom 多項漏洞可被利用繞過訪問控制導致數據泄露

關鍵詞

zoom

Zoom 近日發布多份安全公告，披露并修復了其 Workplace 系列應用中存在的多項安全漏洞。這些漏洞中包含兩項高危漏洞和多項中危問題，顯示出視頻會議與協作平臺在混合辦公環境下的安全防護挑戰仍在持續。

據悉，最為嚴重的漏洞為ZSB-25043和ZSB-25042。在 Android 版 Zoom Workplace 應用中，因授權處理不當（CVE-2025-64741），攻擊者可能繞過訪問控制，執行未經授權的操作，如在未獲許可的情況下加入會議或訪問敏感會話數據。該漏洞影響所有未更新至最新補丁的 Android 版本，其根本原因在于權限檢查機制存在缺陷，使得遠程攻擊者可通過網絡操控用戶權限。

另一項高危漏洞存在于 Windows 版 Zoom Workplace VDI 客戶端（CVE-2025-64740），源于加密簽名驗證不當。該問題可能導致客戶端接受被篡改的更新包或遭通信劫持。研究人員指出，類似的簽名驗證漏洞曾多次引發供應鏈攻擊風險，攻擊者可將惡意代碼注入看似合法的軟件更新中，從而實現系統入侵。

此外，兩項中危漏洞與路徑操作有關。漏洞ZSB-25041（CVE-2025-64739）影響多個 Zoom 客戶端，因文件路徑控制不足，攻擊者可通過構造輸入重定向文件操作，導致數據泄露或配合其他漏洞實現任意代碼執行。另一項在 macOS 平臺的ZSB-25040（CVE-2025-64738）存在類似風險，攻擊者可利用特制輸入穿越目錄并覆蓋關鍵文件。這類路徑遍歷問題雖常見于 Web 應用，但在跨平臺桌面軟件中同樣危害嚴重，突顯輸入驗證的重要性。

更新公告中還包括ZSB-25015的修訂版本，該漏洞最初發布于 2025 年 4 月 8 日，并于 11 月 10 日更新說明。該問題涉及 Windows 版 Zoom Workplace 應用中的空指針引用錯誤（CVE-2025-30670 與 CVE-2025-30671），可能導致程序崩潰或拒絕服務。雖然該漏洞不具備遠程代碼執行能力，但頻繁的崩潰仍可能影響業務連續性。

Zoom 官方已敦促用戶盡快將 Android、Windows、macOS 及 VDI 客戶端更新至最新版本，以防范潛在攻擊。公司未披露漏洞是否已被實際利用，但安全研究人員警告，這些漏洞若被組合使用，可能進一步導致企業環境中的權限提升攻擊。

隨著遠程辦公的持續普及，專家建議企業應加強補丁管理、啟用多因素認證，并持續監控應用異常行為。自 2025 年 8 月以來，Zoom 已連續修復十余項漏洞，其中包括多起高�！胺强尚潘阉髀窂健眴栴}。預計國家漏洞數據庫（NVD）將在近期公布 CVSS 評分，初步評估高危漏洞的分值均超過 7.5。

Zoom 用戶應盡快更新，以防成為新一輪針對統一通信平臺攻擊的受害者。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！