-
09/04/2020
-
128
-
1.673 bài viết
Zoom vá nhiều lỗ hổng nghiêm trọng trên ứng dụng Windows
Hãng công nghệ Zoom vừa chính thức công bố danh mục các bản vá mới nhằm khắc phục 4 lỗ hổng bảo mật hệ thống trên nền tảng Windows. Theo báo cáo kỹ thuật, các lỗ hổng này tạo điều kiện cho kẻ tấn công thực hiện hành vi leo thang đặc quyền, can thiệp sâu vào cấu trúc vận hành của thiết bị bị ảnh hưởng. Đặc biệt, việc tồn tại lỗ hổng có khả năng khai thác từ xa không cần định danh đã làm dấy lên những lo ngại về làn sóng tấn công chuỗi cung ứng nhắm vào các doanh nghiệp đang sử dụng công cụ họp trực tuyến này.
Nghiêm trọng nhất là CVE-2026-30903, lỗ hổng tồn tại trong tính năng Mail của Zoom Workplace trên Windows. Điểm yếu bắt nguồn từ việc ứng dụng không kiểm soát chặt chẽ tên tệp hoặc đường dẫn, cho phép dữ liệu đầu vào ảnh hưởng trực tiếp đến cách hệ thống tham chiếu và xử lý tệp.Trong kịch bản khai thác, kẻ tấn công có thể thao túng các tham chiếu tệp hoặc đường dẫn, từ đó buộc ứng dụng thực thi những thao tác ngoài ý muốn. Do lỗ hổng có thể bị khai thác qua mạng và không yêu cầu xác thực, một đối tượng từ xa vẫn có thể lợi dụng để leo thang đặc quyền trên hệ thống Windows nếu nạn nhân đang sử dụng các phiên bản Zoom Workplace for Windows trước 6.6.0.
Ngoài lỗ hổng nghiêm trọng nói trên, Zoom cũng vá thêm ba lỗ hổng mức cao nằm rải rác ở các thành phần khác của hệ sinh thái Zoom Workplace trên Windows. Dù không nghiêm trọng bằng lỗi chính, các điểm yếu này vẫn có thể bị lợi dụng để mở rộng quyền truy cập hoặc gây ra những hành vi ngoài dự kiến trong hệ thống:
- CVE-2026-30902: ảnh hưởng đến Zoom Clients for Windows. Lỗ hổng xuất phát từ cơ chế quản lý đặc quyền không đúng cách, có thể bị lợi dụng để giành quyền truy cập với mức đặc quyền cao hơn trên hệ thống.
- CVE-2026-30901: tồn tại trong Zoom Rooms for Windows. Lỗi kiểm tra dữ liệu đầu vào chưa đầy đủ cho phép các dữ liệu bất thường kích hoạt những hành vi ngoài dự kiến của ứng dụng.
- CVE-2026-30900: ảnh hưởng đến Zoom Workplace Clients for Windows. Lỗ hổng liên quan đến cơ chế kiểm tra điều kiện không đầy đủ , có thể bị khai thác để vượt qua một số cơ chế kiểm soát truy cập.
Việc các lỗ hổng leo thang đặc quyền liên tiếp xuất hiện trên nền tảng Zoom cho thấy các ứng dụng cộng tác phổ biến vẫn là mục tiêu hấp dẫn đối với tin tặc, đặc biệt trong bối cảnh phần mềm này được sử dụng rộng rãi trong môi trường doanh nghiệp và làm việc từ xa. Trước đó, vào tháng 8/2025, Zoom cũng từng vá một lỗ hổng nghiêm trọng khác cho phép leo thang đặc quyền từ xa trên các client Windows với điểm CVSS lên tới 9.6.
Zoom cho biết đã phát hành bản vá cho toàn bộ các lỗ hổng nêu trên và khuyến nghị người dùng cập nhật ngay lên phiên bản mới nhất. Cụ thể, các hệ thống đang chạy Zoom Workplace for Windows cần nâng cấp lên phiên bản 6.6.0 hoặc cao hơn, đồng thời cập nhật Zoom Clients for Windows và Zoom Rooms for Windows lên bản phát hành mới nhất. Do hiện chưa có biện pháp giảm thiểu nào khác ngoài việc cập nhật, các chuyên gia bảo mật khuyến nghị doanh nghiệp ưu tiên vá những máy trạm sử dụng Zoom thường xuyên, đặc biệt trong môi trường làm việc từ xa hoặc hạ tầng máy tính ảo doanh nghiệp.
Zoom cho biết đã phát hành bản vá cho toàn bộ các lỗ hổng nêu trên và khuyến nghị người dùng cập nhật ngay lên phiên bản mới nhất. Cụ thể, các hệ thống đang chạy Zoom Workplace for Windows cần nâng cấp lên phiên bản 6.6.0 hoặc cao hơn, đồng thời cập nhật Zoom Clients for Windows và Zoom Rooms for Windows lên bản phát hành mới nhất. Do hiện chưa có biện pháp giảm thiểu nào khác ngoài việc cập nhật, các chuyên gia bảo mật khuyến nghị doanh nghiệp ưu tiên vá những máy trạm sử dụng Zoom thường xuyên, đặc biệt trong môi trường làm việc từ xa hoặc hạ tầng máy tính ảo doanh nghiệp.
Tổng hợp