O Zoom divulgou bulletins de segurança com correções para múltiplas vulnerabilidades no portfólio Workplace; duas falhas foram classificadas como de alta severidade e receberam CVEs hoje.
Pontos principais
Os boletins publicados atribuem as identificações ZSB-25043 e ZSB-25042 a duas falhas de alta severidade. Segundo a própria nota, a falha em Zoom Workplace para Android (ZSB-25043) está registrada como CVE-2025-64741 e trata-se de um tratamento impróprio de autorização que pode permitir a um atacante contornar controles de acesso e realizar ações não autorizadas dentro do aplicativo, como ingressar em reuniões sem permissão ou acessar dados de sessão.
A segunda alta severidade, ZSB-25042 (CVE-2025-64740), afeta o Zoom Workplace VDI Client para Windows e está relacionada à verificação inadequada de assinaturas criptográficas, o que pode abrir vetores para aceitar atualizações adulteradas ou interceptar comunicações.
Outras falhas detalhadas
- ZSB-25041 (CVE-2025-64739): manipulação de caminho em diversos clientes Zoom, com controle externo do nome ou caminho de arquivo, potencialmente possibilitando redirecionamento de operações de arquivo e risco de exposição de dados ou escalonamento quando combinado com outras falhas.
- ZSB-25040 (CVE-2025-64738): problema similar em Zoom Workplace para macOS, com possibilidade de traversal e sobrescrita de arquivos críticos.
- ZSB-25015 (atualizado): revisita de um advisory de abril cobrindo null pointer dereferences em apps Workplace para Windows (CVE-2025-30670 e CVE-2025-30671), que podem causar crashes ou condições de negação de serviço.
Impacto técnico e possibilidade de cadeia de exploração
As falhas de validação de assinatura (CVE-2025-64740) e de autorização (CVE-2025-64741) são as que mais preocupam por permitirem, na prática, execução de ações não autorizadas ou aceitação de código/atualizações adulteradas. O boletim cita que vulnerabilidades de verificação de assinatura têm histórico de serem aproveitadas em compromissos de cadeia de suprimento; análises independentes indicam que as falhas podem ser encadeadas para amplificar impacto, embora a empresa mantenha política de não divulgar detalhes de exploração.
Com CVEs atribuídos hoje, o National Vulnerability Database deve publicar pontuações em breve; avaliações preliminares citadas no material indicam que as falhas de alta podem receber CVSS acima de 7,5.
Mitigações e recomendações
O Zoom orienta atualização imediata para as versões corrigidas em todas as plataformas afetadas — Android, Windows, macOS e VDI clients. Complementarmente, recomenda-se:
- priorizar gestão de patches e testes de regressão em ambientes controlados;
- habilitar autenticação multifator e políticas de controle de acesso para reuniões e consoles administrativos;
- monitorar comportamento anômalo dos clientes (conexões, atualizações inesperadas e assinaturas de binários);
- revisar processos de ingestão de atualizações em ambientes VDI e pipelines de distribuição interna.
Limitações das informações
Os bulletins do Zoom fornecem identificação dos problemas, CVEs e plataformas afetadas, mas não divulgam detalhes de exploração ativa nem versões específicas afetadas no nível de número de release. Assim, a fonte não permite afirmar quais builds exatas permanecem vulneráveis em ambientes de produção.
Conclusão
O conjunto de avisos reforça que ferramentas de colaboração continuam sendo alvo relevante para ataques que visam acesso não autorizado e comprometimento de cadeia de distribuição. A ação imediata é aplicar os patches fornecidos pelo Zoom e reforçar controles compensatórios (MFA, monitoramento e políticas de atualização) até que as organizações verifiquem cobertura completa em seus ambientes.