A Zoom lançou uma atualização de segurança para corrigir a vulnerabilidade CVE-2025-49457, classificada como crítica com pontuação CVSS de 9.6. O problema afeta diversas versões do cliente para Windows e decorre de um “untrusted search path”, permitindo que atacantes executem código com privilégios elevados. O erro ocorre porque o aplicativo carrega bibliotecas (DLLs) de forma insegura, sem especificar diretórios confiáveis.
Isso abre espaço para que arquivos maliciosos sejam inseridos em locais que o software verifica antes dos caminhos seguros, resultando na execução não autorizada de código. Entre os produtos afetados estão Zoom Workplace, Zoom Rooms, Zoom Rooms Controller e Zoom Meeting SDK em versões anteriores à 6.3.10. As edições VDI 6.1.16 e 6.2.12 não apresentam essa falha, mas ainda assim é recomendado verificar as versões utilizadas para garantir proteção. Caso explorada, a vulnerabilidade pode permitir que um invasor obtenha controle total do sistema, facilitando movimentações laterais e comprometendo informações críticas.
Em ambientes corporativos, onde o Zoom muitas vezes opera com privilégios elevados, o risco é ainda maior. Além dessa falha, a empresa também corrigiu a CVE-2025-49456, classificada como de severidade média. Trata-se de uma condição de corrida no instalador do Zoom, que, embora não possa ser explorada remotamente, pode comprometer a integridade do aplicativo durante a instalação local. Para reduzir riscos, a recomendação é que todos os usuários atualizem imediatamente para a versão 6.3.10 ou superior, disponível no site oficial da Zoom. Essa atualização corrige ambas as vulnerabilidades e deve ser aplicada sem atraso.
