Zoom, dört yüksek şiddetli kusur da dahil olmak üzere uygulamalarını etkileyen çeşitli güvenlik açıklarını ele alan önemli güvenlik yamaları yayınladı. Bu zoom güvenlik açıkları, şirketin saldırgan güvenlik ekibi tarafından keşfedildi ve hızla platformunu güvence altına almak için harekete geçti.
11 Mart 2025’te Zoom, kullanıcılara, aralarında dördü yüksek şiddet olarak sınıflandırılan beş zoom güvenlik açığı için güncellemelerin yayınlanması hakkında bilgi verdi. Ortak güvenlik açığı ve maruz kalma (CVE) sistemi ile tanımlanan bu güvenlik açıkları, CVE-2025-27440, CVE-2025-27439, CVE-2025-0151 ve CVE-2025-0150 olarak izlenir.
Zoom işyeri uygulamalarını, yakınlaştırma odaları denetleyicilerini ve Zoom Toplantısı SDK’yı etkiler. Bu ürünlerin etkilenen versiyonları sürüm 6.3.0 öncesidir.
Zoom güvenlik açıklarının bozulması
Zoom uygulamalarındaki güvenlik açıkları, ayrıcalık artışı için kullanılabilecek bellek yönetimi sorunları ile ilgili olarak doğası gereği değişmektedir. Özellikle, bu sorunlar şunları içerir:
- CVE-2025-27440: Bu güvenlik açığı, Windows, MacOS, Linux, iOS ve Android için olanlar da dahil olmak üzere Zoom işyeri uygulamalarını etkiler. Kimlik doğrulanmış bir saldırganın ağ erişimi yoluyla ayrıcalıklarını artırmasına izin verir. Bu güvenlik açığı için CVSS (ortak güvenlik açığı puanlama sistemi) puanı 8.5’tir, bu da yüksek bir şiddet seviyesini gösterir. Kullanıcılara, bu kusurla ilişkili riskleri azaltmak için uygulamalarını 6.3.0 veya daha sonraki sürümlere güncellemeleri tavsiye edilir.
- CVE-2025-27439: Önceki güvenlik açığına benzer şekilde, CVE-2025-27439, Zoom işyeri uygulamalarında bir tampon alt akışının neden olduğu bir ayrıcalık artış sorunudur. Yine, bu kusur, kimlik doğrulamalı bir saldırganın, ayrıcalıklara yükselen ağ erişimini kullanmasına izin verir. Aynı CVSS puanını 8.5 paylaşır ve aynı platform yelpazesini etkiler. Bu sorunu ele almak için 6.3.0 veya daha yüksek sürümün güncellenmesi önerilir.
- CVE-2025-0151: Üçüncü yüksek şiddetli güvenlik açığı olan CVE-2025-0151, Zoom işyeri uygulamalarında kullanılmayan bir hata içerir. Bu sorun aynı zamanda bir saldırganın ağ erişimi yoluyla ayrıcalıkları artırmasına izin verebilir, ancak özellikle uygulamanın serbest belleği düzgün bir şekilde ele alamadığı bir bellek yönetimi kusurunu hedefler. Diğer iki yüksek şiddetli sorunu gibi, CVE-2025-0151’in CVSS skoru 8.5’tir.
- CVE-2025-0150: Bu güvenlik açığı, iOS için Zoom işyeri uygulamalarını etkiler ve bir saldırganın bir hizmet reddi (DOS) koşulunu tetiklemesine izin verir. Şiddet diğerlerinden biraz daha düşük olsa da (CVSS skoru 7.1), hala bir güvenlik riski oluşturmaktadır, çünkü ağ erişimi yoluyla kimlik doğrulamalı bir kullanıcı tarafından tetiklendiğinde uygulamanın tepkisiz olmasına neden olabilir.
Ek orta-yüzlük güvenlik açığı
Bu yüksek şiddetli zoom güvenlik açıklarının yanı sıra, şirket ayrıca veri özgünlüğünün yetersiz doğrulanmasıyla ilgili orta şiddetli bir kusuru yamaladı. CVE-2025-0149 olarak izlenen bu sorun, ayrıcalıksız bir kullanıcının ağ erişimi yoluyla bir DOS saldırısı gerçekleştirmesine izin verir. Bu güvenlik açığı için CVSS puanı 6.5’tir, bu da daha az kritik olsa da, hala dikkat çektiğini gösterir. Etkilenen ürünler arasında Windows, MacOS, iOS ve Android için Zoom Workplace uygulamaları bulunur.
Etkilenen ürünler ve sürüm güncellemeleri
Zoom uygulamalarındaki güvenlik açıkları, birden fazla platformda birkaç ürünü etkiler. Bunlar şunları içerir:
- Windows, MacOS ve Linux için Zoom Workplace Masaüstü Uygulaması
- İOS ve Android için Zoom Workplace uygulaması
- Zoom Odalar Denetleyicisi ve Müşteri Uygulamaları
- Birden çok platform için SDK’yı Zoom Toplama (Windows, iOS, Android, MacOS, Linux)
Kullanıcıların kendilerini Zoom’daki bu güvenlik açıklarından korumak için, bu güvenlik kusurlarının çözüldüğü 6.3.0 veya daha yüksek sürümlere güncellemek önemlidir. Zoom, en son güncellemeleri indirmek için kullanılabilir hale getirdi. zoom.us/download.
Çözüm
Zoom’un saldırgan güvenlik ekibi, CVE-2025-27440, CVE-2025-27439, CVE-2025-0151 ve CVE-2025-0150 dahil olmak üzere çeşitli kritik güvenlik açıklarını keşfetti ve ele aldı ve şirketin platformunu koruma için proaktif yaklaşımını gösterdi. Bellek yönetimi kusurlarını ve potansiyel hizmet reddi risklerini içeren bu sorunları hızlı bir şekilde yamalayarak, Zoom kullanıcı güvenliğine olan bağlılığını güçlendirir.
Şirket, tüm kullanıcıları, sömürü potansiyelini azaltmak için uygulamalarını derhal güncellemeye çağırarak, siber güvenlik tehditlerine karşı korunmada düzenli yazılım güncellemelerinin önemini vurgulamak ve dünya çapında milyonlarca Zoom kullanıcısının sürekli güvenliğini sağlamaktadır.