Zoom ve Xerox, Zoom istemcilerindeki kritik güvenlik kusurlarını Windows ve FreeFlow çekirdeği için ayrıcalık artışı ve uzaktan kod yürütmesine izin verebilecek.
Zoom istemcilerini pencereler için etkileyen güvenlik açığı, CVE-2025-49457 (CVSS puanı: 9.6), ayrıcalık artışının yolunu açabilecek güvenilmeyen bir arama yolu vakası ile ilgilidir.
Zoom, Salı günü bir güvenlik bülteninde, “Windows için belirli Zoom istemcilerindeki güvenilmeyen arama yolu, kimlik doğrulanmamış bir kullanıcının ağ erişimi yoluyla bir ayrıcalık artışı yapmasına izin verebilir.” Dedi.
Kendi hücum güvenlik ekibi tarafından bildirilen sorun, aşağıdaki ürünleri etkiliyor –
- Sürüm 6.3.10’dan önce Windows için Zoom Workplace
- Sürüm 6.3.10’dan önce Windows için Zoom Workplace VDI (6.1.16 ve 6.2.12 hariç)
- Sürüm 6.3.10’dan önce pencereler için yakınlaştırma odaları
- Sürüm 6.3.10’dan önce Windows için Zoom Odalar Denetleyicisi
- Sürüm 6.3.10’dan önce Windows için SDK Zoom toplantısı
Açıklama, Xerox FreeFlow çekirdeğinde en şiddetli olanı uzaktan kod yürütmesine neden olabilecek birden fazla güvenlik açığı açıklandığından gelir. 8.0.4 sürümünde ele alınan sorunlar –
- CVE-2025-8355 (CVSS Puanı: 7.5) – XML Harici Varlık (XXE) Enjeksiyon Güvenlik Açığı Sunucu tarafı isteği Arıtma (SSRF)
- CVE-2025-8356 (CVSS Puanı: 9.8) – Uzaktan kod yürütmesine yol açan yol geçiş güvenlik açığı
Horizon3.ai, “Bu güvenlik açıkları sömürülmesi temeldir ve eğer sömürülürse, bir saldırganın etkilenen sistemde keyfi komutlar yürütmesine, hassas verileri çalmasına veya saldırılarını ilerletmek için belirli bir kurumsal ortama yanal olarak hareket etmeye çalışmasına izin verebilir.” Dedi.