Popüler video konferans platformu Zoom, uygulama paketindeki ayrıcalık yükseltmeden hizmet reddi risklerine kadar çeşitli güvenlik açıklarını giderdi.
Farklı CVE kimlikleriyle tanımlanan bu güvenlik açıkları, kullanıcı güvenliğini korumak için güncellemelerin zamanında yapılmasının önemini vurguluyor. Aşağıda güvenlik açıklarına ve bunların sonuçlarına genel bir bakış yer almaktadır.
Yüksek Derecede Güvenlik Açığı: CVE-2025-0147
Linux için Zoom Workplace Uygulamasında (6.2.10’dan önceki sürümler) CVE-2025-0147 adlı kritik bir güvenlik açığı keşfedildi. Bu tür karışıklık güvenlik açığı, bir saldırganın ağ erişimi yoluyla ayrıcalıkları yükseltmesine olanak verebilir.
CVSS puanı 8,8 (Yüksek) olan kusur, kullanıcı etkileşimi gerektiriyor ancak gizlilik, bütünlük ve kullanılabilirlik üzerindeki potansiyel etkisi nedeniyle önemli riskler oluşturuyor.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Etkilenen Ürünler:
- Linux için Zoom Workplace Uygulaması (6.2.10 öncesi)
- Linux için Zoom Meeting SDK’sı (6.2.10’dan önce)
- Linux için Zoom Video SDK’sı (6.2.10 öncesi)
Orta Derecede Güvenlik Açıkları
- CVE-2025-0145
Belirli Zoom Workplace Uygulamalarının Windows yükleyicisinde bulunan bu güvenlik açığı, güvenilmeyen bir arama yolu sorunundan kaynaklanmaktadır. Yerel erişim yoluyla ayrıcalık yükseltmeye izin verir ve 4,6 (Orta) CVSS puanına sahiptir.
- Windows için Zoom Workplace Uygulaması (6.2.5 öncesi)
- Windows için Zoom Workplace VDI İstemcisi (6.1.13 öncesi, 6.0.15 hariç)
- Diğer çeşitli Windows tabanlı Zoom uygulamaları.
- CVE-2025-0143
Linux için Zoom Workplace Uygulamasındaki (sürüm 6.2.5 öncesi) bu sınır dışı yazma güvenlik açığı, yetkisiz kullanıcıların ağ erişimi yoluyla hizmet reddi saldırılarına izin verebilir. CVSS puanı 4,3 (Orta)’dir.
- Linux için Zoom Workplace Uygulaması (6.2.5 öncesi)
- Linux için Zoom Meeting SDK’sı ve Video SDK’sı (6.2.5’ten önce)
- CVE-2025-0142
Zoom Jenkins bot eklentisindeki (sürüm 1.6’dan önceki) orta önemdeki bir kusur, hassas bilgilerin açık metin olarak depolanmasını içeriyor ve potansiyel olarak ağ erişimi yoluyla bilgilerin ifşa edilmesine izin veriyor. - Zoom Jenkins bot eklentisi (sürüm 1.6’dan önce)
Düşük Ciddiyetteki Güvenlik Açıkları
- CVE-2025-0146
Zoom Workplace Uygulamasının macOS yükleyicisindeki sembolik bağlantı izleme sorunu, kimliği doğrulanmış kullanıcılar tarafından yerel erişim yoluyla hizmet reddi saldırılarına yol açabilir. Bu güvenlik açığının CVSS puanı 3,9 (Düşük)’tür.
- MacOS için Zoom Workplace Uygulaması (6.2.10 öncesi)
- Zoom Rooms Client ve SDK’lar gibi diğer macOS tabanlı uygulamalar.
- CVE-2025-0144
Zoom Workplace Uygulamalarının farklı platformlardaki birden fazla sürümünde ortaya çıkan sınır dışı yazma sorunu, yetkili kullanıcıların ağ erişimi yoluyla veri bütünlüğünü tehlikeye atabilir.
- Windows, macOS, Linux, iOS ve Android için Zoom Workplace Uygulamalarının birden fazla sürümü.
Zoom, tüm kullanıcılara uygulamalarını resmi web sitesinde veya ilgili eklenti depolarında bulunan en son sürümlere güncellemelerini şiddetle tavsiye eder. Bu güncellemeler güvenlik açıklarını giderir ve genel güvenliği artırır.
Kullanıcıların, potansiyel tehditleri etkili bir şekilde azaltmak için derhal harekete geçmeleri ve sistemlerinin en son yamalı sürümleri çalıştırdığından emin olmaları teşvik edilir.