Zoom divulgou duas falhas em Zoom Rooms para Windows e macOS (ZSB-25050 e ZSB-25051) que permitem escalonamento de privilégios via acesso local e divulgação de informação sensível; a atualização para a versão 6.6.0 ou posterior é recomendada.
Descoberta e escopo / O que mudou agora
O aviso de segurança da Zoom descreve duas vulnerabilidades que afetam instalações de Zoom Rooms anteriores à versão 6.6.0. ZSB-25050 (CVE-2025-67460) é uma falha de proteção contra downgrade de software no Windows que possibilita escalonamento de privilégios por um atacante com acesso local. ZSB-25051 (CVE-2025-67461) no macOS permite divulgação de informações via controle externo de nomes/caminhos de arquivo, exigindo interação do usuário.
Vetor e exploração / Mitigações
ZSB-25050 apresenta um vetor local sem necessidade de interação (CVSS 7.8) e pode ser explorado por atores com acesso físico ou por contas locais em ambientes corporativos. ZSB-25051, com vector que requer interação (CVSS 5.0), abusa de controle externo de nomes de arquivo para expor dados.
Zoom recomenda atualizar imediatamente para a versão 6.6.0 ou posterior disponível na página oficial de downloads. Além do patch, práticas mitigatórias incluem: restringir contas locais com privilégios em dispositivos de salas, aplicar políticas de least-privilege em estações de conferência, segmentar redes de salas de reunião e monitorar tentativas de downgrade de software e execuções anômalas em endpoints compartilhados.
Impacto e alcance / Setores afetados
Ambientes que utilizam Zoom Rooms em espaços compartilhados (salas de reunião, salas de diretoria, ambientes acadêmicos) correm risco elevado, pois endpoints de sala costumam ter configurações mais permissivas e múltiplos usuários. O vetor local torna as implantações físicas e atendentes de suporte alvos prováveis para ameaças internas ou invasores que obtenham acesso a um endpoint.
Limites das informações / O que falta saber
Até o momento não há relatos públicos de exploração ativa em larga escala. As informações disponíveis derivam do boletim da Zoom e da cobertura do Cyber Security News; não foram publicados IOCs detalhados ou exploits públicos. Organizações devem tratar a ausência de evidência de exploração como motivo para priorizar correção, não para adiar atualizações.
Repercussão / Próximos passos
Administradores devem: aplicar o patch 6.6.0, auditar contas locais em dispositivos de sala, reforçar políticas de acesso físico e rede para equipamentos de conferência e incorporar esses endpoints em varreduras regulares de vulnerabilidade. Times de segurança devem considerar controles compensatórios (segmentação, monitoramento EDR) até que a atualização esteja universalizada nas implantações.
Fontes
Boletim de segurança divulgado pela Zoom e cobertura do incidente no Cyber Security News.