-
09/04/2020
-
112
-
1.097 bài viết
Zoom vá nhiều lỗ hổng bảo mật quan trọng trên Windows và macOS
Zoom vừa phát hành bản cập nhật bảo mật quan trọng cho các ứng dụng của mình, bao gồm Zoom Workplace và các client trên Windows lẫn macOS, nhằm khắc phục nhiều lỗ hổng với mức độ nghiêm trọng từ trung bình đến cao.
Bản vá mới nhất đặc biệt chú trọng vào một lỗ hổng “Missing Authorization” mức cao, được đánh số CVE-2025-49459, ảnh hưởng đến Zoom Workplace trên Windows ARM. Lỗ hổng này có khả năng cho phép kẻ tấn công thực hiện các hành động ngoài quyền hạn, từ đó đe dọa nghiêm trọng đến bảo mật của ứng dụng.
Bên cạnh lỗ hổng nghiêm trọng, Zoom cũng khắc phục nhiều vấn đề mức trung bình trên client Windows và macOS, bao gồm:
Việc liên tục phát hiện các lỗ hổng, từ mức nghiêm trọng đến trung bình, cho thấy tầm quan trọng của việc áp dụng bản cập nhật kịp thời cho cả người dùng cá nhân lẫn tổ chức. Trì hoãn cập nhật sẽ khiến hệ thống đối mặt với nguy cơ bị tấn công, bao gồm đánh cắp dữ liệu, từ chối dịch vụ và thậm chí xâm nhập toàn bộ hệ thống. Người dùng có thể tải phiên bản mới nhất của Zoom thông qua website chính thức hoặc kênh cập nhật ứng dụng.
Bản vá mới nhất đặc biệt chú trọng vào một lỗ hổng “Missing Authorization” mức cao, được đánh số CVE-2025-49459, ảnh hưởng đến Zoom Workplace trên Windows ARM. Lỗ hổng này có khả năng cho phép kẻ tấn công thực hiện các hành động ngoài quyền hạn, từ đó đe dọa nghiêm trọng đến bảo mật của ứng dụng.
Bên cạnh lỗ hổng nghiêm trọng, Zoom cũng khắc phục nhiều vấn đề mức trung bình trên client Windows và macOS, bao gồm:
- Trên Zoom Workplace cho Windows
- CVE-2025-58135: Improper Action Enforcement, có thể cho phép thực hiện hành động ngoài quyền hạn
- CVE-2025-58134: Incorrect Authorization, có thể khiến người dùng vượt quá quyền truy cập
- Trên nhiều client Zoom Workplace
- CVE-2025-49458: Buffer Overflow, có khả năng dẫn đến thực thi mã tùy ý
- CVE-2025-49460: Argument Injection, cho phép chèn tham số độc hại để thao túng hành vi ứng dụng
- CVE-2025-49461: Cross-site Scripting (XSS), có thể chèn mã độc vào các trang web mà người dùng xem
- Trên Zoom Workplace VDI Plugin cho macOS Universal installer dùng với VMware Horizon
- CVE-2025-58131: Race Condition, có thể gây hành vi không dự đoán trước, từ từ chối dịch vụ đến leo thang quyền hạn
Việc liên tục phát hiện các lỗ hổng, từ mức nghiêm trọng đến trung bình, cho thấy tầm quan trọng của việc áp dụng bản cập nhật kịp thời cho cả người dùng cá nhân lẫn tổ chức. Trì hoãn cập nhật sẽ khiến hệ thống đối mặt với nguy cơ bị tấn công, bao gồm đánh cắp dữ liệu, từ chối dịch vụ và thậm chí xâm nhập toàn bộ hệ thống. Người dùng có thể tải phiên bản mới nhất của Zoom thông qua website chính thức hoặc kênh cập nhật ứng dụng.
Theo Cyber Security News