Zoom ออกแพตช์อุดช่องโหว่ร้ายแรง ทำผู้ใช้โดนแฮกเกอร์เล่นงานไม่รู้ตัว

Zoom ผู้ให้บริการแพลตฟอร์มประชุมออนไลน์ยอดฮิต ออกแพตช์ความปลอดภัยแก้ไขช่องโหว่ร้ายแรงใน Zoom Clients บน Windows โดยช่องโหว่ CVE-2025-49457 มีคะแนนความรุนแรง CVSS 9.6 จัดอยู่ในระดับ “รุนแรงมาก” และอาจถูกแฮกเกอร์โจมตีด้วยการยกระดับสิทธิ์ (Privilege Escalation) โดยไม่ต้องพิสูจน์ตัวตนแต่อย่างใด

ช่องโหว่ CVE-2025-49457

ช่องโหว่นี้เกิดจาก ปัญหา untrusted search path ในไคลเอนต์ Zoom เวอร์ชันที่มีช่องโหว่ ทำให้แฮกเกอร์ที่อยู่บนเครือข่ายเดียวกันสามารถใช้ไฟล์ที่เป็นอันตรายเพื่อรันโค้ดด้วยสิทธิ์ระดับสูงบนเครื่องเป้าหมายได้ ซึ่งเป็นช่องทางให้เข้าควบคุมระบบ หรือติดตั้งมัลแวร์โดยไม่ต้องมีสิทธิ์เดิมอยู่ก่อน

Zoom แนะนำให้ผู้ใช้ อัปเดตเป็นเวอร์ชัน 6.3.10 หรือใหม่กว่า โดยผลิตภัณฑ์ที่ได้รับผลกระทบ ได้แก่

• Zoom Workplace for Windows (ก่อนเวอร์ชัน 6.3.10)
• Zoom Workplace VDI for Windows (ก่อน 6.3.10 ยกเว้น 6.1.16 และ 6.2.12)
• Zoom Rooms for Windows (ก่อน 6.3.10)
• Zoom Rooms Controller for Windows (ก่อน 6.3.10)
• Zoom Meeting SDK for Windows (ก่อน 6.3.10)

ความเสี่ยงหากไม่อัปเดต

หากผู้ใช้ยังคงใช้เวอร์ชันที่มีช่องโหว่ ผู้โจมตีอาจสามารถยกระดับสิทธิ์การใช้งานบนเครื่อง เข้าควบคุมระบบหรือรันคำสั่งอันตราย แพร่กระจายมัลแวร์ในเครือข่ายองค์กร รวมถึงขโมยหรือแก้ไขข้อมูลสำคัญได้ โดยช่องโหว่นี้สามารถถูกใช้จากระยะไกลและไม่ต้องยืนยันตัวตน จึงมีความเสี่ยงสูงต่อทั้งผู้ใช้ทั่วไปและองค์กร

Zoom แนะนำให้ผู้ใช้รีบดำเนินการอัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุดทันที พร้อมทั้งตรวจสอบกิจกรรมเครือข่ายอย่างต่อเนื่องเพื่อเฝ้าระวังความผิดปกติ เสริมระบบความปลอดภัยด้วยมาตรการอย่างการใช้การยืนยันตัวตนหลายขั้นตอน (MFA) และการจำกัดสิทธิ์ผู้ใช้งานเฉพาะที่จำเป็น ตลอดจนติดตามประกาศด้านความปลอดภัยจาก Zoom เพื่อรับข้อมูลอัปเดตอยู่เสมอ

ที่มา