Zoom’dan Kritik Windows Güvenlik Açığına Acil Yama: Hesap Ele Geçirilebilir Siber Güvenlik

Zoom’dan Kritik Windows Güvenlik Açığına Acil Yama: Hesap Ele Geçirilebilir

Zoom, Windows için kritik bir güvenlik açığını (CVSS 9.8) yamaladı. Açık, ağ erişimiyle hesap ele geçirmeye izin veriyor.

Popüler video konferans platformu Zoom, Windows işletim sistemindeki kritik bir güvenlik açığı için acil güncelleme yayınladı. CVE-2026-53412 koduyla izlenen ve CVSS puanı 9.8 olan bu zafiyet, saldırganların ağ üzerinden kimlik doğrulaması yapmadan kullanıcı hesaplarını ele geçirmesine olanak tanıyor. Etkilenen ürünler arasında Zoom Workplace for Windows (7.0.0 öncesi) ve Zoom Workplace VDI Client for Windows (6.5.18, 6.6.15 ve 7.0.10 öncesi sürümler) bulunuyor.

Zoom’un yayınladığı güvenlik bültenine göre, Windows için Zoom Masaüstü İstemcisi ve Zoom VDI İstemcisi’ndeki hatalı girdi doğrulama (Improper Input Validation) hatası, yetkisiz kullanıcıların ağ erişimiyle hesap ele geçirmesine yol açabiliyor. Bu tür zafiyetler genellikle hedef sistemde kod çalıştırma veya hassas bilgilere erişim için kullanılıyor. Zoom, bu açığı kritik olarak sınıflandırarak kullanıcıların en kısa sürede güncelleme yapmasını öneriyor.

Aynı güncelleme paketi, üç yüksek önem dereceli güvenlik açığını da kapatıyor. Bunlardan ilki, CVE-2026-53411 (CVSS 7.8), Zoom Workplace VDI Plugin for Windows’un 6.6.14 öncesi sürümlerinde bulunuyor. Bu açık, kimlik doğrulaması yapmış bir kullanıcının yerel erişimle ayrıcalık yükseltmesine (privilege escalation) izin verebiliyor. Aynı eklentideki ikinci bir hata da benzer bir etkiye sahip.

Bir diğer yüksek önemli açık, CVE-2026-53410 (CVSS 7.0), zaman kontrolü ve zaman kullanımı arasındaki yarış koşulu (TOCTOU) zafiyeti olarak tanımlanıyor. Bu açık, belirli Zoom İstemcileri’nin kurulum ve kaldırma işlemleri sırasında ortaya çıkıyor ve kimlik doğrulaması yapmış yerel bir kullanıcının ayrıcalıklarını yükseltmesine olanak tanıyor. Etkilenen ürünler arasında Zoom Workplace for Windows (7.0.5 öncesi), Zoom Workplace VDI Client for Windows (6.5.17 ve 6.6.14 öncesi), Zoom Workplace VDI Plugin (6.5.17 ve 6.6.14 öncesi), Zoom Rooms for Windows (7.0.5 öncesi) ve Remote Control for Zoom Contact Center for Windows (7.0.0 öncesi) yer alıyor.

Gelecekte Ne Bekleniyor?

Son olarak, CVE-2026-53409 (CVSS 7.8) koduyla izlenen bir ayrıcalık yönetimi zafiyeti, Zoom Rooms for Windows’un 7.1.0 öncesi sürümlerini etkiliyor. Kimlik doğrulaması yapmış bir kullanıcı, yerel erişimle bu açığı kullanarak yetkilerini yükseltebiliyor. Tüm bu açıkların, yazılımın en son sürümlerine güncellenmesiyle kapatılabileceği belirtiliyor.

Detaylar ve Etkileri

Zoom, şu ana kadar bu güvenlik açıklarının gerçek dünyada istismar edildiğine dair herhangi bir rapor bulunmadığını açıkladı. Ancak, özellikle kritik seviyedeki CVE-2026-53412 gibi zafiyetlerin, saldırganlar için cazip hedefler olduğu unutulmamalı. Kullanıcıların, Zoom Workplace, Zoom VDI Client ve ilgili eklentilerini en son sürüme güncelleyerek korunmaları öneriliyor. Güncellemeler, Zoom’un resmi web sitesi ve istemci uygulaması üzerinden alınabiliyor.

Kaynak: thehackernews.com

Paylaş: