Zoom выпустила экстренное обновление безопасности после раскрытия информации о критической уязвимости в своих приложениях для Windows. Хотя компания не предоставила технических подробностей об этой ошибке, она подтвердила, что успешная её эксплуатация может позволить неавторизованному злоумышленнику захватить контроль над учётной записью через интернет.

В отличие от многих недавних уязвимостей в Windows, эта ошибка в Zoom представляет собой гораздо большую опасность. Это связано с тем, что её может использовать неавторизованный злоумышленник по сети, поэтому для атаки не требуется локальный или физический доступ к системе.
Уязвимость, зарегистрированная под идентификатором CVE-2026-53412, классифицируется как проблема, связанная с некорректной проверкой входных данных (improper input validation), и имеет оценку 9,8 по шкале CVSS — это критический уровень опасности.
Некорректная проверка входных данных возникает, когда программное обеспечение ненадлежащим образом проверяет данные перед их обработкой. По сути, вместо того чтобы убедиться, что входящие данные соответствуют ожидаемому формату, типу, размеру или диапазону, приложение принимает неожиданные или вредоносные данные, способные изменить его штатную работу. Такие данные могут поступать от пользователей, из файлов, сетевого трафика, API или других программных компонентов. В зависимости от того, как приложение обрабатывает полученные данные, некорректная проверка может привести к обходу аутентификации, повышению привилегий или даже к удалённому выполнению кода.
Согласно бюллетеню безопасности Zoom, уязвимость затрагивает Zoom Workplace для Windows (версии до 7.0.0), Zoom Workplace VDI Client для Windows (версии до 7.0.10, 6.6.15 и 6.5.18 в соответствующих ветках), а также Zoom Meeting SDK для Windows (версии до 7.0.0).
Для решения проблемы достаточно загрузить последнюю версию приложения. Организациям и предприятиям, использующим Zoom, следует обновить системы централизованного развёртывания, чтобы устаревшая уязвимая версия программы не вернулась в ходе следующего цикла установки.
В 2025 году сообщалось, что уязвимость функции Google OAuth «Войти через Google» может позволить злоумышленникам при регистрации доменов несуществующих стартапов получить доступ к конфиденциальным данным бывших учётных записей сотрудников, связанных с различными платформами программного обеспечения как услуги (SaaS). Создание таких клонов не даёт новым владельцам доступа к предыдущим сообщениям, но эти аккаунты могут использоваться для повторного входа в такие сервисы, как Slack, Notion, Zoom, ChatGPT и на различные платформы по работе с персоналом.
ссылка на оригинал статьи https://habr.com/ru/articles/1060384/