Zoom ostrzega przed krytyczną luką w zabezpieczeniach. Konieczna aktualizacja klienta Windows

Producent popularnej platformy komunikacyjnej Zoom wystosował ostrzeżenie dotyczące krytycznej luki w zabezpieczeniach aplikacji przeznaczonej na system Windows. Błąd pozwala nieautoryzowanym osobom na przejęcie kontroli nad kontami użytkowników.

Zoom Workplace to rozbudowane środowisko służące do wideokonferencji, prowadzenia rozmów VoIP, obsługi kalendarzy, poczty elektronicznej oraz wspólnej pracy nad dokumentami. Aplikacja cieszy się ogromną popularnością zarówno wśród użytkowników indywidualnych, jak i w sektorze przedsiębiorstw na całym świecie. Ostatnie odkrycie bezpieczeństwa dotyczy kluczowych elementów infrastruktury Zoom w środowisku Windows.

Problem zidentyfikowany pod nazwą CVE 2026 53412 otrzymał ocenę stopnia zagrożenia na poziomie 9,8 w dziesięciostopniowej skali. Oznacza to, że podatność jest niezwykle groźna i wymaga natychmiastowej reakcji działów IT. Luka dotyczy aplikacji Zoom Workplace w wersjach starszych niż 7.0.0. Problem występuje także w wersji VDI Client w wydaniach wcześniejszych niż 7.0.10, 6.6.15 oraz 6.5.18. Narażone są również wersje Meeting SDK dla Windows sprzed wersji 7.0.0.

Przyczyną wystąpienia zagrożenia jest nieprawidłowy proces walidacji danych wejściowych. Brak odpowiedniej kontroli danych przesyłanych do aplikacji pozwala atakującym na wykorzystanie luki w celu przejęcia konta. Producent nie udostępnił szczegółowych informacji technicznych dotyczących sposobu działania exploita, ograniczając się jedynie do opisu w biuletynie bezpieczeństwa.

– Niewłaściwa walidacja danych wejściowych w kliencie Zoom dla systemu Windows, kliencie Zoom VDI dla Windows oraz Zoom Meeting SDK dla Windows może pozwolić nieautoryzowanemu użytkownikowi na przejęcie konta za pośrednictwem dostępu sieciowego – poinformowano w oficjalnym komunikacie bezpieczeństwa opublikowanym przez Zoom.

 

Dodatkowe luki w zabezpieczeniach

Wraz z naprawą głównego błędu, producent zaadresował także inne istotne luki. Jedną z nich jest CVE 2026 53410. Jest to błąd typu TOCTOU czyli time of check to time of use, który dotyczy aplikacji Zoom Workplace, wersji VDI oraz Zoom Rooms. Może on pozwolić uwierzytelnionemu użytkownikowi lokalnemu na eskalację uprawnień podczas procesu instalacji lub usuwania oprogramowania z systemu.

Kolejnym zidentyfikowanym problemem jest CVE 2026 53409. Dotyczy on niewłaściwego zarządzania uprawnieniami w rozwiązaniu Zoom Rooms dla Windows w wersjach wcześniejszych niż 7.1.0. Błąd ten umożliwia użytkownikowi posiadającemu lokalny dostęp do urządzenia podniesienie swoich przywilejów.

Ostatnią z wymienionych podatności jest CVE 2026 53411. Dotyczy ona niewłaściwej walidacji danych wejściowych we wtyczce Zoom Workplace VDI dla Windows w wersjach poniżej 6.6.14. Również w tym przypadku istnieje ryzyko eskalacji uprawnień przez lokalnego użytkownika. Obecnie nie ma żadnych potwierdzonych informacji wskazujących na to, aby ktokolwiek wykorzystał te luki w realnych atakach. Zoom zdecydowanie zaleca wszystkim użytkownikom oraz administratorom IT instalację najnowszych aktualizacji, które eliminują opisane zagrożenia i zabezpieczają środowisko pracy przed potencjalnymi incydentami.