【安全圈】Zoom 多项漏洞可被利用绕过访问控制导致数据泄露|zoom|数据泄露

关键词

Zoom 近日发布多份安全公告，披露并修复了其 Workplace 系列应用中存在的多项安全漏洞。这些漏洞中包含两项高危漏洞和多项中危问题，显示出视频会议与协作平台在混合办公环境下的安全防护挑战仍在持续。

据悉，最为严重的漏洞为ZSB-25043和ZSB-25042。在 Android 版 Zoom Workplace 应用中，因授权处理不当（CVE-2025-64741），攻击者可能绕过访问控制，执行未经授权的操作，如在未获许可的情况下加入会议或访问敏感会话数据。该漏洞影响所有未更新至最新补丁的 Android 版本，其根本原因在于权限检查机制存在缺陷，使得远程攻击者可通过网络操控用户权限。

另一项高危漏洞存在于 Windows 版 Zoom Workplace VDI 客户端（CVE-2025-64740），源于加密签名验证不当。该问题可能导致客户端接受被篡改的更新包或遭通信劫持。研究人员指出，类似的签名验证漏洞曾多次引发供应链攻击风险，攻击者可将恶意代码注入看似合法的软件更新中，从而实现系统入侵。

此外，两项中危漏洞与路径操作有关。漏洞ZSB-25041（CVE-2025-64739）影响多个 Zoom 客户端，因文件路径控制不足，攻击者可通过构造输入重定向文件操作，导致数据泄露或配合其他漏洞实现任意代码执行。另一项在 macOS 平台的ZSB-25040（CVE-2025-64738）存在类似风险，攻击者可利用特制输入穿越目录并覆盖关键文件。这类路径遍历问题虽常见于 Web 应用，但在跨平台桌面软件中同样危害严重，突显输入验证的重要性。

更新公告中还包括ZSB-25015的修订版本，该漏洞最初发布于 2025 年 4 月 8 日，并于 11 月 10 日更新说明。该问题涉及 Windows 版 Zoom Workplace 应用中的空指针引用错误（CVE-2025-30670 与 CVE-2025-30671），可能导致程序崩溃或拒绝服务。虽然该漏洞不具备远程代码执行能力，但频繁的崩溃仍可能影响业务连续性。

Zoom 官方已敦促用户尽快将 Android、Windows、macOS 及 VDI 客户端更新至最新版本，以防范潜在攻击。公司未披露漏洞是否已被实际利用，但安全研究人员警告，这些漏洞若被组合使用，可能进一步导致企业环境中的权限提升攻击。

随着远程办公的持续普及，专家建议企业应加强补丁管理、启用多因素认证，并持续监控应用异常行为。自 2025 年 8 月以来，Zoom 已连续修复十余项漏洞，其中包括多起高危“非可信搜索路径”问题。预计国家漏洞数据库（NVD）将在近期公布 CVSS 评分，初步评估高危漏洞的分值均超过 7.5。

Zoom 用户应尽快更新，以防成为新一轮针对统一通信平台攻击的受害者。