Zoom Patches Critical Windows Flaw That Could Enable Account Takeover
Mis à jour :
Vulnérabilités critiques dans Zoom pour Windows : Mises à jour recommandées
Zoom a publié des correctifs pour plusieurs vulnérabilités affectant ses clients Windows. La plus grave, classée critique, permettrait une prise de contrôle de compte à distance.
Points clés :
- Risque majeur : Une vulnérabilité critique permet à un utilisateur non authentifié de prendre le contrôle d’un compte via un accès réseau.
- Autres menaces : Trois vulnérabilités de haute sévérité permettent à un utilisateur local authentifié d’élever ses privilèges.
- État de la menace : Aucune preuve d’exploitation active de ces failles n’a été signalée à ce jour.
Vulnérabilités identifiées :
- CVE-2026-53412 (Score CVSS 9.8) : Validation d’entrée incorrecte permettant la prise de contrôle de compte (Desktop Client, VDI Client et SDK).
- CVE-2026-53411 (Score CVSS 7.8) : Validation d’entrée incorrecte menant à une élévation de privilèges locale (VDI Plugin).
- CVE-2026-53409 (Score CVSS 7.8) : Gestion inappropriée des privilèges (Zoom Rooms).
- CVE-2026-53410 (Score CVSS 7.0) : Condition de concurrence (TOCTOU) lors de l’installation/désinstallation menant à une élévation de privilèges.
Recommandations :
- Mise à jour immédiate : Tous les utilisateurs doivent installer les dernières versions disponibles du client Zoom, du plugin VDI et des autres composants cités.
- Vérification des versions : S’assurer que les logiciels sont mis à jour au-delà des versions vulnérables (notamment la v7.0.5 pour Zoom Workplace et v7.1.0 pour Zoom Rooms).
