Zoom 发布了安全更新,解决了其软件中的多个漏洞,包括 Zoom Workplace 以及适用于 Windows 和 macOS 的各种客户端。
这些补丁涵盖了一个高严重性缺陷和几个中等严重性问题,强烈建议用户立即更新其应用程序,以防止潜在的漏洞。
此更新中修复的最重大漏洞是一个高严重性“缺少授权”缺陷,标识为 CVE-2025-49459,影响 ARM 上的 Zoom Workplace for Windows。
此类漏洞可能允许攻击者执行他们无权执行的作,从而导致应用程序的安全性受到损害。
Windows 和 macOS 客户端中的缺陷
还解决了几个中等严重性漏洞。其中两个特别影响适用于 Windows 的 Zoom Workplace 客户端:
- CVE-2025-58135:“不当行为实施”漏洞。
- CVE-2025-58134:“授权不正确”问题,可能允许用户超出其允许的访问级别。
该安全公告还详细介绍了影响更广泛 Zoom Workplace 客户端的其他中等严重性漏洞:
- CVE-2025-49458:“缓冲区溢出”漏洞,可能导致任意代码执行。
- CVE-2025-49460:“参数注入”缺陷,攻击者可能通过插入恶意参数来纵应用程序的行为。
- CVE-2025-49461:“跨站脚本”(XSS) 漏洞,可能允许攻击者将恶意脚本注入用户查看的网页中。
此外,在适用于 VMware Horizon 的 macOS 通用安装程序的 Zoom Workplace VDI 插件中修补了“竞争条件”漏洞 (CVE-2025-58131)。竞争条件可能导致不可预测的行为,包括拒绝服务或权限提升。
Zoom 始终建议用户将软件更新到最新版本,以接收最新的安全修复和改进。
最新一批补丁是在 Zoom 解决严重漏洞 CVE-2025-49457 一个月后发布的,CVE-2025-49457 是其 Windows 客户端中一个不受信任的搜索路径缺陷,可能允许权限升级。
该漏洞的 CVSS 评分为 9.6,凸显了与过时客户端版本相关的重大风险,因为它可能使未经身份验证的攻击者能够通过网络获得更高的权限。
鉴于不断发现从严重到中等严重性的安全漏洞,个人用户和组织及时应用这些更新至关重要。
延迟更新可能会使系统面临各种攻击,包括数据泄露、拒绝服务和整个系统泄露。用户可以在公司官方网站和应用程序的更新渠道找到最新版本的 Zoom 软件。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
