Zoom: falha crítica permite controle de contas

A Zoom publicou ontem um alerta sobre uma vulnerabilidade crítica em seu cliente para Windows e no kit de desenvolvimento de software (SDK) para a plataforma, identificada como CVE-2026-53412 (CVSS de 9.8), que poderia permitir que um invasor não autenticado assumisse o controle de contas de usuários por meio de acesso à rede.

A falha, descoberta internamente pela própria empresa, afeta o Zoom Workplace para Windows em versões anteriores à 7.0.0, o cliente VDI para Windows antes das versões 7.0.10, 6.6.15 e 6.5.18, e o Meeting SDK para Windows antes da versão 7.0.0. De acordo com o comunicado de segurança, o problema é descrito como uma validação inadequada de entrada (improper input validation), mas a empresa não divulgou detalhes técnicos adicionais sobre a exploração.

Outras vulnerabilidades corrigidas

Além da falha crítica, a Zoom publicou correções para outras três vulnerabilidades de severidade alta em seus produtos para Windows. A CVE-2026-53410 é uma condição de corrida TOCTOU (time-of-check to time-of-use) que afeta o Zoom Workplace para Windows antes da versão 7.0.5 e outros componentes, podendo permitir que um usuário autenticado localmente escale privilégios durante a instalação ou desinstalação. A CVE-2026-53409, que afeta o Zoom Rooms para Windows antes da versão 7.1.0, envolve gerenciamento inadequado de privilégios e também pode levar à escalação de privilégios por um usuário autenticado com acesso local. Por fim, a CVE-2026-53411 é uma falha de validação de entrada no plugin VDI para Windows antes da versão 6.6.14, que apresenta o mesmo risco de escalação de privilégios para usuários autenticados localmente.

Recomendações

A Zoom recomenda que os usuários apliquem as atualizações mais recentes para mitigar os riscos associados à CVE-2026-53412. A empresa afirmou que, até o momento da divulgação, não há indicações de que qualquer uma das vulnerabilidades corrigidas esteja sendo explorada em ataques.