Nedavno su otkrivene dvije ranjivosti u određenim Zoom klijentima za Windows, koje bi mogle omogućiti napadačima pokretanje napada uskraćivanjem usluge (DoS). Ove propuste, zavedene pod oznakama CVE-2025-49464 i CVE-2025-46789, prijavio je sigurnosni istraživač pod nadimkom fre3dm4n. Svakoj od njih dodijeljena je oznaka srednje kritičnosti, s CVSS rezultatom 6.5.
Obje ranjivosti proizlaze iz klasičnog problema prelijevanja međuspremnika (buffer overflow) u zahvaćenim Zoom proizvodima. Ova greška bi mogla omogućiti ovlaštenom korisniku s mrežnim pristupom da iskoristi sustav, uzrokujući DoS stanje koje narušava dostupnost usluge. CVSS vektorski niz za oba problema, CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, ukazuje na visok utjecaj na dostupnost, iako povjerljivost i integritet ostaju nepromijenjeni. Iako napad zahtijeva niske privilegije i ne uključuje interakciju korisnika, potencijal za poremećaj značajan je za organizacije koje se oslanjaju na Zoom za komunikaciju.
Navedene ranjivosti utječu na više Zoom proizvoda za Windows, s manjim varijacijama u zahvaćenim verzijama između dva CVE-a. Slijedi pregled zahvaćenog softvera:
CVE-2025-49464:
Zoom Workplace za Windows prije verzije 6.4.0
Zoom Workplace VDI za Windows prije verzije 6.3.10 (osim 6.1.7 i 6.2.15)
Zoom Rooms za Windows prije verzije 6.4.0
Zoom Rooms Controller za Windows prije verzije 6.4.0
Zoom Meeting SDK za Windows prije verzije 6.4.0
CVE-2025-46789:
Zoom Workplace za Windows prije verzije 6.4.5
Zoom Workplace VDI za Windows prije verzije 6.3.12 (osim 6.2.15)
Zoom Rooms za Windows prije verzije 6.4.5
Zoom Rooms Controller za Windows prije verzije 6.4.5
Zoom Meeting SDK za Windows prije verzije 6.4.5
Zoom je potvrdio ove ranjivosti i objavio ažuriranja kako bi ih riješio. Korisnicima se snažno preporučuje da primijene najnovije zakrpe kako bi zaštitili svoje sustave. Ažuriranja su dostupna za preuzimanje putem Zoomovog službenog portala. Osiguravanje ažurnosti softvera ključan je korak u zaštiti od potencijalnih eksploatacija koje bi mogle prekinuti poslovne operacije ili osobnu komunikaciju.
Ove ranjivosti naglašavaju kontinuirane izazove u osiguravanju široko korištenih komunikacijskih alata, posebno s obzirom na to da rad na daljinu i virtualni sastanci ostaju sastavni dio mnogih organizacija. Problemi prelijevanja međuspremnika, iako klasični, i dalje predstavljaju rizik kada se ne rješavaju promptno. Za Zoom korisnike, posebno one koji upravljaju velikim timovima ili osjetljivim operacijama, održavanje budnosti u vezi s ažuriranjima softvera je neophodno.
