Nedavno su otkrivene dvije ranjivosti u određenim klijentima za Windows aplikacije Zoom, koje bi mogle omogućiti napadačima pokretanje DoS (Denial of Service) napada. Ove propuste, označene kao CVE-2025-49464 i CVE-2025-46789, prijavio je sigurnosni istraživač fre3dm4n, a nose umjerenu ocjenu ozbiljnosti sa CVSS rezultatom od 6.5.
Obje ranjivosti potiču od klasičnog problema prekomjernog upisivanja u bafer (buffer overflow) u zahvaćenim Zoom proizvodima. Ovaj propust bi omogućio ovlaštenom korisniku s mrežnim pristupom da iskoristi sistem, uzrokujući DoS stanje koje narušava dostupnost usluge. CVSS vektor za oba problema, CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, ukazuje na visok utjecaj na dostupnost, iako povjerljivost i integritet ostaju nepromijenjeni. Iako napad zahtijeva niske privilegije i ne uključuje interakciju korisnika, potencijal za poremećaj je značajan za organizacije koje se oslanjaju na Zoom za komunikaciju.
Ranjivosti utječu na više Zoom proizvoda za Windows, s manjim varijacijama u zahvaćenim verzijama između dva CVE-a. Ispod je pregled zahvaćenog softvera:
Za CVE-2025-49464:
* Zoom Workplace za Windows, verzije prije 6.4.0
* Zoom Workplace VDI za Windows, verzije prije 6.3.10 (osim 6.1.7 i 6.2.15)
* Zoom Rooms za Windows, verzije prije 6.4.0
* Zoom Rooms Controller za Windows, verzije prije 6.4.0
* Zoom Meeting SDK za Windows, verzije prije 6.4.0
Za CVE-2025-46789:
* Zoom Workplace za Windows, verzije prije 6.4.5
* Zoom Workplace VDI za Windows, verzije prije 6.3.12 (osim 6.2.15)
* Zoom Rooms za Windows, verzije prije 6.4.5
* Zoom Rooms Controller za Windows, verzije prije 6.4.5
* Zoom Meeting SDK za Windows, verzije prije 6.4.5
Zoom je potvrdio ove ranjivosti i objavio ažuriranja za njihovo rješavanje. Korisnicima se snažno savjetuje da primijene najnovije ispravke kako bi zaštitili svoje sustave. Ažuriranja su dostupna za preuzimanje putem Zoomovog službenog portala. Osiguravanje da je softver ažuran ključan je korak u zaštiti od potencijalnih iskorištavanja koja bi mogla prekinuti poslovne operacije ili osobnu komunikaciju. Ove ranjivosti naglašavaju tekuće izazove u osiguravanju široko korištenih alata za komunikaciju, posebno jer rad na daljinu i virtualni sastanci ostaju sastavni dio mnogih organizacija. Problemi s prekomjernim upisivanjem u bafer, iako klasični, i dalje predstavljaju rizike kada se ne rješavaju promptno. Za korisnike Zooma, posebno one koji upravljaju velikim timovima ili osjetljivim operacijama, budnost u vezi s ažuriranjima softvera je neophodna.
