Тази седмица Zoom пусна спешно обновление за сигурност, след като разкри критична уязвимост, засягаща приложенията ѝ за Windows. Въпреки че компанията не е споделила технически подробности за уязвимостта, тя потвърди, че успешното ѝ експлоатиране би позволило на неавтентифициран атакуващ да поеме контрол над акаунт чрез интернет, което прави този проблем вероятно един от най-сериозните, с които платформата е трябвало да се справи напоследък.
За разлика от много от скорошните пробиви, свързани с Windows – като например тази, при която пачът на Defender може да запълни дисковото ви пространство – тази уязвимост в Zoom определено е много по-опасна. Причината е, че тя може да бъде експлоатирана от неавтентифициран атакуващ чрез мрежата и следователно не изисква локален или физически достъп до която и да е система.
Уязвимостта, регистрирана под номер CVE-2026-53412, се описва като проблем с неправилна валидация на входните данни и има оценка по CVSS (Common Vulnerability Scoring System) v3.1 от 9,8. Ако се чудите – да, това е критично.
Неправилната валидация на входните данни, както подсказва самото наименование, възниква, когато даден софтуер не успее да провери правилно данните, преди да ги обработи. По същество приложението приема неочаквани или злонамерени данни, които могат да променят предвиденото му поведение, вместо да гарантира, че входящите данни съответстват на очаквания формат, тип, размер или диапазон. Такива данни могат да произхождат от потребители, файлове, мрежов трафик, API-та или други софтуерни компоненти. В зависимост от това как приложението обработва данните впоследствие, неправилната валидация на входните данни може да доведе до заобикаляне на автентификацията, ескалация на привилегии или дори отдалечено изпълнение на код.
Според бюлетина за сигурност на Zoom уязвимостта засяга Zoom Workplace за Windows преди версия 7.0.0, Zoom Workplace VDI Client за Windows преди версии 7.0.10, 6.6.15 и 6.5.18 в съответните им разклонения, както и Zoom Meeting SDK за Windows преди версия 7.0.0.
Следователно решението е доста просто – просто изтеглете най-новата версия на приложението и проблемът ще бъде решен. Офисите и предприятията, които използват Zoom, трябва да се уверят, че са актуализирали централизираното си внедряване, за да не се върне старата, уязвима версия на Zoom при следващия цикъл на инсталиране.
Можете да я изтеглите от официалния уебсайт, а самото предупреждение можете да намерите под номер ZSB-26014 на уебсайта на Zoom Security Bulletin.
Снимка: Unsplash
Виж още: Европейската мечта на Nio умря след едва 45 продадени е-автомобила в цяла Европа