Zoom vá lỗ hổng nghiêm trọng trên Windows: Nguy cơ bị chiếm đoạt tài khoản
Zoom vừa phát hành bản cập nhật bảo mật khẩn cấp để khắc phục lỗ hổng nghiêm trọng cho phép kẻ tấn công chiếm đoạt tài khoản người dùng trên hệ điều hành...
Zoom vừa chính thức phát hành các bản vá bảo mật quan trọng cho dòng sản phẩm Zoom Workplace trên Windows nhằm ngăn chặn nguy cơ bị chiếm đoạt tài khoản (account takeover).
Lỗ hổng đáng chú ý nhất được định danh là CVE-2026-53412 với điểm CVSS lên tới 9.8 (mức nghiêm trọng). Lỗi này ảnh hưởng trực tiếp đến Zoom Desktop Client, Zoom VDI Client và Zoom Meeting SDK dành cho Windows. Theo thông tin từ Zoom, lỗ hổng xuất phát từ việc kiểm soát đầu vào (input validation) không đúng cách, cho phép kẻ tấn công không cần xác thực có thể chiếm quyền điều khiển tài khoản thông qua truy cập mạng.
Bên cạnh lỗ hổng nghiêm trọng trên, bản cập nhật lần này cũng xử lý ba lỗ hổng khác có mức độ nguy hiểm cao:
- CVE-2026-53411 (CVSS 7.8): Lỗi kiểm soát đầu vào trong Zoom Workplace VDI Plugin cho Windows (phiên bản trước 6.6.14), cho phép người dùng đã xác thực leo thang đặc quyền thông qua truy cập cục bộ.
- CVE-2026-53410 (CVSS 7.0): Lỗi điều kiện đua (race condition) dạng TOCTOU trong quá trình cài đặt và gỡ cài đặt của một số ứng dụng Zoom trên Windows, có thể bị lợi dụng để leo thang đặc quyền.
- CVE-2026-53409 (CVSS 7.8): Lỗi quản lý đặc quyền trong Zoom Rooms cho Windows (phiên bản trước 7.1.0), cho phép người dùng đã xác thực thực hiện leo thang đặc quyền cục bộ.
Lỗ hổng CVE-2026-53410 ảnh hưởng đến phạm vi rộng hơn, bao gồm Zoom Workplace, Zoom Workplace VDI Client, Zoom Workplace VDI plugin, Zoom Rooms và Remote Control cho Zoom Contact Center trên Windows (các phiên bản cũ hơn 7.0.5 hoặc 7.0.0 tùy sản phẩm).
Hiện tại, chưa có báo cáo nào về việc các lỗ hổng này bị khai thác trong các cuộc tấn công thực tế. Tuy nhiên, để đảm bảo an toàn, người dùng và quản trị viên hệ thống được khuyến cáo cập nhật phần mềm Zoom lên phiên bản mới nhất ngay lập tức.
Nguồn tham khảo: The Hacker News


No Comment! Be the first one.