🛡️ Zoom Workplace应用程序存在多个安全漏洞，其中包含两个高危漏洞（CVE-2025-64741和CVE-2025-64740），可能允许攻击者越权访问会议数据、加入未经授权的会议，甚至进行供应链攻击。

🔍 高危漏洞具体包括Android客户端的授权机制缺陷，允许攻击者操纵用户权限；以及Windows VDI客户端的密码签名验证不足，可能导致篡改更新包或拦截通信。

⚠️ 除高危漏洞外，还存在多个中危漏洞，如路径操纵漏洞（CVE-2025-64739 / CVE-2025-64738）可能导致数据泄露或代码执行，以及空指针解引用问题（CVE-2025-30670 / CVE-2025-30671）可能导致应用崩溃或服务中断。

🚀 Zoom强烈建议所有用户立即更新其Android、Windows、macOS及VDI客户端至最新版本，以修复已知的安全风险。企业用户应额外加强补丁管理和安全监测措施。

看雪学苑 2025-11-11 18:00 上海

Zoom多平台现高危漏洞，可越权访问会议数据，务必立即更新。

近日，Zoom发布多项安全公告，披露了其Workplace应用程序中的多个漏洞，包括两个高危漏洞及数个中危漏洞。这些漏洞可能允许攻击者绕过访问控制、加入未经授权的会议、访问敏感会话数据，甚至植入恶意软件，对混合办公环境下的数百万用户构成严重威胁。

- Zoom Workplace for Android (CVE-2025-64741)：因授权机制存在缺陷，攻击者可能通过网络操纵用户权限，越权执行加入会议或访问会议数据等操作。

- Zoom Workplace VDI Client for Windows (CVE-2025-64740)：密码签名验证不足，可能导致攻击者植入篡改的更新包或拦截通信内容，引发供应链攻击风险。

- 路径操纵漏洞 (CVE-2025-64739 / CVE-2025-64738)：影响Zoom多个客户端及macOS版本，攻击者可利用精心构造的输入实现目录遍历，重写关键文件，造成数据泄露或代码执行。

- 空指针解引用问题 (CVE-2025-30670 / CVE-2025-30671)：主要影响Windows平台，可导致应用崩溃或服务中断，虽不直接执行代码，但可能影响企业正常运营。

Zoom强烈建议所有用户立即将Android、Windows、macOS及VDI客户端更新至最新版本。企业用户应加强补丁管理、启用多因素认证，并密切监测应用异常行为。

此次漏洞修复是Zoom今年8月以来十余次安全更新中的最新一轮，专家指出，若不及时修补，攻击者可能组合利用这些漏洞，在企业网络内实现权限提升与横向渗透。

资讯来源：cybersecuritynews

转载请注明出处和本文链接

阅读原文

跳转微信打开