关键词
zoom
近日,安全研究员 fre3dm4n 披露了 Zoom Windows 客户端中的两个漏洞,已被官方确认,并分别登记为 CVE-2025-49464 和 CVE-2025-46789。这两个漏洞均被评定为中危,CVSS 评分为 6.5,可能被攻击者利用发起远程拒绝服务攻击,影响客户端的可用性。
漏洞概况
两个漏洞均源于缓冲区溢出问题,攻击者无需用户交互、仅需低权限即可触发。这意味着,在特定网络环境下,攻击者可远程造成 Zoom 客户端崩溃或服务中断。漏洞主要影响 Zoom 的多个 Windows 平台产品,包括标准客户端、VDI、Rooms 以及 SDK。
影响范围
CVE-2025-49464 影响以下产品版本:
-
Zoom Workplace for Windows 6.4.0 之前版本
-
Zoom Workplace VDI for Windows 6.3.10 之前版本(不包括 6.1.7 和 6.2.15)
-
Zoom Rooms for Windows 6.4.0 之前版本
-
Zoom Rooms Controller for Windows 6.4.0 之前版本
-
Zoom Meeting SDK for Windows 6.4.0 之前版本
CVE-2025-46789 影响以下产品版本:
-
Zoom Workplace for Windows 6.4.5 之前版本
-
Zoom Workplace VDI for Windows 6.3.12 之前版本(不包括 6.2.15)
-
Zoom Rooms for Windows 6.4.5 之前版本
-
Zoom Rooms Controller for Windows 6.4.5 之前版本
-
Zoom Meeting SDK for Windows 6.4.5 之前版本
官方响应与修复建议
Zoom 已发布修复补丁,受影响用户应立即升级至以下版本及以上:
-
Zoom Workplace:6.4.5
-
Zoom Workplace VDI:6.3.12
-
Zoom Rooms 及 Controller:6.4.5
-
Zoom Meeting SDK:6.4.5
可通过 Zoom 官方网站(https://zoom.us/download)获取最新版安装包。
安全建议
-
企业应尽快完成 Zoom 全客户端的版本检查和统一更新,避免批量影响。
-
对暂未能升级的设备,可通过访问控制或网络隔离手段降低被利用风险。
-
建议部署终端防护系统监控 Zoom 客户端的异常崩溃和行为。
-
建立关键软件(如 Zoom、Teams 等)版本合规制度,防止遗留版本滞后。
总结
本次 Zoom 漏洞虽未造成数据泄露,但其无需交互、低权限即可触发的特性,使其在攻击面上具备一定威胁。建议相关组织立即开展版本清查,并结合终端管理系统,提升软件更新响应能力,防范潜在服务中断风险。
END
原文始发于微信公众号(安全圈):【安全圈】Zoom Windows 客户端曝出中危漏洞,可能被用于发起拒绝服务(DoS)攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论