Zoom ออกอัปเดตด่วน อุด 3 ช่องโหว่ร้ายแรง เสี่ยงแฮกเกอร์ยึดสิทธิ์เครื่องได้

Zoom เปิดเผยการค้นพบช่องโหว่ชุดใหม่ในซอฟต์แวร์ของบริษัท ซึ่งอาจเปิดทางให้ผู้โจมตีเข้าควบคุมระบบได้ โดยล่าสุดได้ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่สำคัญ 3 รายการ ที่ส่งผลกระทบต่อแอปพลิเคชันบน Windows และ iOS

ช่องโหว่ที่อันตรายที่สุดในชุดนี้ อาจเปิดทางให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้ว สามารถยกระดับสิทธิ์ของตนเองจากผู้ใช้งานทั่วไป กลายเป็นผู้ดูแลระบบระดับสูงได้ทันที

ช่องโหว่ใน Zoom Rooms และ Zoom Workplace

ช่องโหว่แรกกระทบกับ Zoom Rooms for Windows โดยถูกติดตามในรหัส CVE-2026-30906 และถูกจัดอยู่ในระดับความรุนแรงสูง ด้วยคะแนน CVSS 7.8 เต็ม 10

ปัญหาเกิดจากช่องโหว่ประเภท “Untrusted Search Path” ภายในตัวติดตั้งโปรแกรม ซึ่งหากผู้โจมตีมีสิทธิ์เข้าถึงเครื่องในระดับผู้ใช้งานทั่วไปอยู่แล้ว ก็สามารถใช้ช่องโหว่นี้เพื่อยกระดับสิทธิ์ในระบบได้

การเข้าถึงระดับสูงลักษณะนี้ มักถูกใช้เพื่อปิดระบบป้องกันความปลอดภัย ขโมยข้อมูลสำคัญขององค์กร หรือแม้แต่ติดตั้ง ransomware ลงในระบบ โดยช่องโหว่นี้ส่งผลต่อ Zoom Rooms for Windows ทุกเวอร์ชันก่อนหน้า 7.0.0

ขณะเดียวกัน นักวิจัยด้านความปลอดภัยที่ใช้ชื่อว่า “sim0nsecurity” ยังตรวจพบช่องโหว่อีกรายการใน Zoom Workplace VDI Plugin for Windows

ช่องโหว่นี้ถูกระบุเป็น CVE-2026-30905 และมีคะแนน CVSS 7.8 เช่นกัน สาเหตุเกิดจากการควบคุมชื่อไฟล์หรือเส้นทางไฟล์จากภายนอก ภายใน Windows Universal Installer ของซอฟต์แวร์

ลักษณะการโจมตีคล้ายกับกรณีของ Zoom Rooms กล่าวคือ ผู้ใช้ที่มีสิทธิ์ในเครื่องอยู่แล้ว สามารถใช้ช่องโหว่นี้เพื่อยกระดับสิทธิ์ของตนเองได้ โดยได้รับผลกระทบเฉพาะ Zoom Workplace VDI Plugin เวอร์ชัน 6.6.10 และจำเป็นต้องอัปเดตเป็นเวอร์ชัน 6.6.11 หรือใหม่กว่าโดยด่วน

ผู้ใช้ iPhone ก็ได้รับผลกระทบเช่นกัน

แม้ว่าความเสี่ยงหลักจะอยู่ในฝั่ง Windows แต่ผู้ใช้มือถือก็ได้รับผลกระทบจากการอัปเดตครั้งนี้เช่นกัน โดย Zoom Workplace for iOS มีช่องโหว่ที่ถูกติดตามในรหัส CVE-2026-30904

ช่องโหว่นี้เกี่ยวข้องกับความล้มเหลวของกลไกป้องกันภายในระบบ ซึ่งอาจนำไปสู่การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต

อย่างไรก็ตาม ช่องโหว่นี้ถูกจัดอยู่ในระดับความรุนแรงต่ำ ด้วยคะแนน CVSS เพียง 1.8 เนื่องจากผู้โจมตีจำเป็นต้องเข้าถึงตัวเครื่อง iPhone หรือ iPad ของเป้าหมายโดยตรง จึงจะสามารถใช้ประโยชน์จากช่องโหว่ได้

แม้ความเสี่ยงจะไม่สูงมาก แต่ก็ยังถือเป็นปัญหาด้านความเป็นส่วนตัวสำหรับผู้ใช้งาน โดยนักวิจัยที่ใช้ชื่อว่า “errorsec_” เป็นผู้รายงานช่องโหว่นี้ ซึ่งส่งผลต่อแอป Zoom บน iOS ทุกเวอร์ชันก่อนหน้า 7.0.0

Zoom ระบุว่า ช่องโหว่ประเภท “Privilege Escalation” ถือเป็นหนึ่งในเป้าหมายสำคัญของกลุ่มผู้โจมตีไซเบอร์ เพราะสามารถใช้เป็นจุดเริ่มต้นในการขยายการโจมตีไปยังระบบอื่นภายในเครือข่ายองค์กรได้

บริษัทจึงแนะนำให้ผู้ใช้งานทั่วไป ผู้ดูแลระบบไอที และพนักงานที่ทำงานระยะไกล รีบติดตั้งอัปเดตความปลอดภัยล่าสุดโดยเร็วที่สุด เพื่อป้องกันความเสี่ยงจากการถูกโจมตีผ่านช่องโหว่เหล่านี้

ที่มา