Zoom desktop và VDI client cũng như Meeting SDK dành cho Windows bị ảnh hưởng bởi lỗ hổng xác thực đầu vào không đúng, có thể cho phép hacker leo thang đặc quyền trên hệ thống.
Lỗ hổng có mã theo dõi CVE-2024-24691, CVSS v3.1 là 9,6, ảnh hưởng đến các sản phẩm:
- Zoom Desktop Client cho Windows trước phiên bản 5.16.5
- Zoom VDI Client cho Windows trước phiên bản 5.16.10 (không bao gồm 5.14.14 và 5.15.12)
- Zoom Rooms Client cho Windows trước phiên bản 5.17.0
- Zoom Meeting SDK cho Windows trước phiên bản 5.16.5
Thông tin tiết lộ về lỗ hổng không nêu rõ cách thức khai thác nhưng chỉ ra rằng nó yêu cầu một số tương tác của người dùng, có thể như nhấp vào liên kết, mở tệp đính kèm mail…
Đối với hầu hết người dùng, Zoom sẽ tự động nhắc cập nhật lên phiên bản mới nhất.
Ngoài lỗ hổng xác thực đầu vào không chính xác, bản phát hành Zoom mới nhất còn xử lý 6 lỗ hổng khác. Người dùng Zoom nên cập nhật càng sớm càng tốt.
Nguồn: Bleeping Computer