Zoom ออกตัวอัปเดตแก้ไขช่องโหว่การยกระดับสิทธิ์ที่สำคัญในแอป Windows

65/67 (IT) ประจำวันศุกร์ที่ 16 กุมภาพันธ์ 2567

แพลตฟอร์มสำหรับการประชุมออนไลน์ Zoom Desktop Client, VDI Client และ Meeting SDK บนแอปพลิเคชัน Windows มีความเสี่ยงในการถูกโจมตีช่องโหว่ในการตรวจสอบความถูกต้อง ซึ่งอาจทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถดำเนินการยกระดับสิทธิ์บนระบบเป้าหมายผ่านเครือข่ายได้

โดย Zoom เป็นบริการการประชุมออนไลน์ผ่านวิดีโอที่ได้รับความนิยม ซึ่งความนิยมได้เพิ่มสูงขึ้นในช่วงการแพร่ระบาดของโควิด-19 เมื่อองค์กรหลายแห่งหันมาใช้งาน ZOOM โดยภายในเดือนเมษายน 2020 มีผู้เข้าร่วมการประชุมสูงสุด 300 ล้านคนต่อวัน ซึ่งช่องโหว่ที่เปิดเผยใหม่นี้ หมายเลข CVE-2024-24691 และถูกค้นพบโดยทีมรักษาความปลอดภัยของ Zoom โดยมีคะแนน CVSS v3.1 อยู่ที่ 9.6 ซึ่งจัดว่าเป็นช่องโหว่ระดับร้ายแรง ดังนั้น จึงขอแนะนำให้ผู้ใช้งาน Zoom ควรทำการอัปเดตความปลอดภัยหรืออัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด เพื่อลดโอกาสที่ผู้ไม่ประสงค์ดีจากภายนอกจะยกระดับสิทธิ์ของตน ซึ่งจะนำไปสู่การถูกขโมยข้อมูลที่ละเอียดอ่อน หรือการดักฟังการประชุม และติดตั้งแบ็คดอร์ได้ โดยช่องโหว่นี้ส่งผลกระทบต่อผลิตภัณฑ์เวอร์ชันต่อไปนี้

    – Zoom Desktop Client สำหรับ Windows ก่อนเวอร์ชัน 5.16.5

    – Zoom VDI Client สำหรับ Windows ก่อนเวอร์ชัน 5.16.10 (ไม่รวม 5.14.14 และ 5.15.12)

    – Zoom Rooms Client สำหรับ Windows ก่อนเวอร์ชัน 5.17.0    

– Zoom Meeting SDK สำหรับ Windows ก่อนเวอร์ชัน 5.16.5

แหล่งข่าว https://www.bleepingcomputer.com/news/security/zoom-patches-critical-privilege-elevation-flaw-in-windows-apps/