Zoom, Windows ve macOS için Zoom Rooms yazılımında, yerel erişime sahip saldırganların ayrıcalıkları yükseltmesine veya hassas bilgileri açığa çıkarmasına olanak verebilecek iki kritik güvenlik açığını açıkladı.
ZSB-25050 ve ZSB-25051 olarak takip edilen bu kusurlar, 6.6.0’dan önceki sürümleri etkiliyor ve yüksek ila orta CVSS puanları taşıyor. Konferans kurulumları için Zoom Rooms’a güvenen kuruluşlar, toplantı odaları veya küçük alanlar gibi ortak ortamlarda yüksek risklerle karşı karşıyadır.
Sorunlar, Windows’taki bir yazılım sürüm düşürme koruması hatasından ve macOS’taki dosya adlarının uygunsuz harici kontrolünden kaynaklanıyor; her ikisi de yerel erişim yoluyla kullanılabilir. Güvenlik ekipleri, yetkisiz ayrıcalık kazanımlarını veya verilerin ifşa edilmesini önlemek için derhal yama uygulanmasını talep ediyor.
Windows Yazılımı Sürüm Düşürme Koruması Atlandı (ZSB-25050)
Sürüm 6.6.0’dan önceki Windows için Zoom Rooms, kimliği doğrulanmamış yerel kullanıcıların ayrıcalıkları yükseltmesine olanak tanıyan bir koruma mekanizması hatasından muzdaripti. İsimsiz bir araştırmacı tarafından bildirilen bu yüksek önemdeki kusur, saldırganların sistem üzerinde daha fazla kontrol sahibi olmasına olanak sağlayabilir.
| Bülten | CVE Kimliği | CVSS Önem Derecesi | CVSS Puanı | Vektör Dizisi | Tanım |
|---|---|---|---|---|---|
| ZSB-25050 | CVE-2025-67460 | Yüksek | 7.8 | CVSS: 3.1/AV: l/Ac: l/pr: l/ui: n/s: u/c: h/i: h/a: h | Yazılım sürüm düşürme koruması hatası, yerel erişim yoluyla kimliği doğrulanmamış ayrıcalıkların yükseltilmesine izin verir. |
Etkilenen Ürünler: Windows için Yakınlaştırma Odaları < 6.6.0
macOS Dosya Yolu Denetiminde Güvenlik Açığı (ZSB-25051)
MacOS’ta kimliği doğrulanmış bir kullanıcı, hassas bilgileri ifşa etmek için dosya adlarının veya yolların harici denetiminden yararlanabilir. Bu orta riskli sorun, kullanıcı etkileşimi gerektirir ancak kurumsal dağıtımlarda gizli verilerin sızdırılmasına neden olabilir.
| Bülten | CVE Kimliği | CVSS Önem Derecesi | CVSS Puanı | Vektör Dizisi | Tanım |
|---|---|---|---|---|---|
| ZSB-25051 | CVE-2025-67461 | Orta | 5.0 | CVSS: 3.1/AV: L/AC: l/PR: l/UI: r/s: u/c: h/i: n/a: n | Dosya adının/yolunun harici kontrolü, yerel erişim yoluyla bilgilerin açıklanmasına olanak tanır. |
Etkilenen Ürünler: macOS < 6.6.0 için Yakınlaştırma Odaları
Zoom, resmi indirme sayfası aracılığıyla 6.6.0 veya sonraki bir sürüme güncelleme yapmanızı önerir. Henüz aktif istismara dair bir kanıt mevcut değil ancak yerel erişim vektörü, içeriden gelen tehditlere veya güvenliği ihlal edilmiş uç noktalara uygundur.
Bu kusurlar, özellikle hibrit çalışma vardiyaları sonrası olmak üzere işbirliği araçlarında devam eden riskleri vurgulamaktadır. Kuruluşlar Zoom Rooms dağıtımlarını denetlemeli, en az ayrıcalıklı erişimi zorunlu kılmalı ve sürüm düşürme girişimlerini izlemelidir.
CISA henüz uyarı yayınlamadı ancak NVD gibi güvenlik açığı takipçileri yakında bu CVE’leri listeleyecek.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
