Ngày 10 tháng 3 năm 2026, Zoom đã công bố bốn bản tin bảo mật, tiết lộ nhiều lỗ hổng CVE trong bộ ứng dụng khách dành cho Windows của mình. Các lỗ hổng này, có mức độ nghiêm trọng từ Cao đến Nghiêm trọng, có thể cho phép kẻ tấn công leo thang đặc quyền trên các hệ thống bị ảnh hưởng. Đáng chú ý, một lỗ hổng nghiêm trọng có thể bị khai thác bởi kẻ tấn công từ xa không cần xác thực và không cần quyền truy cập hệ thống trước đó.

CVE-2026-30903: Lỗ Hổng Nghiêm Trọng trong Zoom Mail

Lỗ hổng CVE nghiêm trọng nhất được theo dõi là CVE-2026-30903 (ZSB-26005). Nó được phân loại là Nghiêm trọng và ảnh hưởng đến tính năng Mail trong Zoom Workplace dành cho Windows. Đây là một lỗ hổng có tính chất External Control of File Name or Path, một điểm yếu cho phép kẻ tấn công thao túng các tham chiếu tệp để thực hiện các hoạt động trái phép.

Một người dùng không được xác thực có thể khai thác lỗ hổng CVE này thông qua truy cập mạng để leo thang đặc quyền trên các hệ thống bị ảnh hưởng. Điều này cho phép kẻ tấn công kiểm soát các chức năng hệ thống với quyền cao hơn so với bình thường. Khả năng truy cập từ xa mà không cần xác thực làm tăng đáng kể mức độ rủi ro.

Vector CVSS xác nhận rằng cuộc tấn công không yêu cầu xác thực và có thể được khởi chạy từ xa, biến nó thành một trong những mối đe dọa nguy hiểm nhất. Tất cả các cài đặt Zoom Workplace dành cho Windows chạy phiên bản trước 6.6.0 đều bị ảnh hưởng. Việc bỏ qua các bản cập nhật có thể khiến hệ thống của bạn gặp rủi ro đáng kể từ cuộc tấn công leo thang đặc quyền.

Các Lỗ Hổng CVE Có Mức Độ Nghiêm Trọng Cao Khác

Ngoài lỗ hổng nghiêm trọng trên, Zoom còn công bố ba lỗ hổng CVE khác có mức độ nghiêm trọng Cao, bổ sung vào đợt công bố này:

CVE-2026-30902: Lỗi Quản Lý Đặc Quyền Không Phù Hợp

CVE-2026-30902 (ZSB-26004) ảnh hưởng đến Zoom Clients dành cho Windows và liên quan đến Improper Privilege Management (Quản lý Đặc quyền Không phù hợp). Các đặc quyền người dùng được gán không chính xác có thể bị lạm dụng để đạt được quyền truy cập nâng cao trái phép. Lỗ hổng này tạo điều kiện cho kẻ tấn công thực hiện các hành động vượt quá phạm vi quyền hạn được cấp.

Kiểm soát đặc quyền không đúng cách có thể dẫn đến việc kẻ tấn công chiếm được quyền truy cập vào các tài nguyên hoặc chức năng nhạy cảm. Đây là một vấn đề phổ biến trong phát triển phần mềm, nhưng lại đặc biệt nguy hiểm khi xảy ra trong các ứng dụng liên lạc quan trọng như Zoom.

CVE-2026-30901: Lỗi Xác Thực Đầu Vào trong Zoom Rooms

CVE-2026-30901 (ZSB-26003) nhắm mục tiêu vào Zoom Rooms dành cho Windows. Lỗ hổng này liên quan đến Improper Input Validation (Xác thực Đầu vào Không phù hợp), một loại lỗ hổng cho phép các đầu vào không đúng định dạng hoặc không mong muốn kích hoạt các hành vi không mong muốn. Các hành vi này có thể bao gồm thực thi mã hoặc thay đổi đặc quyền trên hệ thống. Zoom Rooms for Windows cũng là một mục tiêu tiềm năng cho các cuộc tấn công khai thác lỗ hổng này.

Việc không kiểm tra kỹ lưỡng đầu vào có thể cho phép kẻ tấn công gửi dữ liệu độc hại, dẫn đến các hậu quả nghiêm trọng như thực thi mã tùy ý hoặc leo thang đặc quyền. Đây là một lỗ hổng phổ biến, nhưng lại đặc biệt nguy hiểm khi có thể bị khai thác từ xa.

CVE-2026-30900: Lỗi Kiểm Tra Không Phù Hợp

CVE-2026-30900 (ZSB-26002) ảnh hưởng đến Zoom Workplace Clients dành cho Windows. Lỗ hổng này được mô tả là một lỗi Improper Check flaw, cho thấy sự thất bại trong logic xác minh. Lỗi này có thể bị lợi dụng để bỏ qua các kiểm soát truy cập. Việc bỏ qua kiểm soát truy cập có thể cho phép kẻ tấn công truy cập vào các chức năng hoặc dữ liệu mà họ không được phép.

Các lỗi kiểm tra không phù hợp thường là kết quả của việc thiếu sự xác minh đầy đủ trong mã nguồn, cho phép các điều kiện nhất định không được xử lý đúng cách, mở ra cánh cửa cho các hành vi khai thác. Một lỗ hổng CVE như thế này có thể có tác động đáng kể đến tính toàn vẹn và bảo mật của hệ thống.

Tiền Lệ và Mối Đe Dọa Liên Tục

Zoom đã liên tục vá các vấn đề leo thang đặc quyền tương tự trên nền tảng Windows trong các chu kỳ gần đây. Đáng chú ý là CVE-2025-49457 (CVSS 9.6) được tiết lộ vào tháng 8 năm 2025. Lỗ hổng này cũng cho phép leo thang đặc quyền dựa trên mạng không cần xác thực trên nhiều ứng dụng khách Windows. Điều này cho thấy rằng các vấn đề về leo thang đặc quyền là một mối quan tâm liên tục đối với các sản phẩm của Zoom trên nền tảng Windows.

Sự xuất hiện lặp đi lặp lại của các lỗ hổng CVE nghiêm trọng, đặc biệt là những lỗ hổng cho phép leo thang đặc quyền từ xa không cần xác thực, nhấn mạnh tầm quan trọng của việc duy trì các bản vá bảo mật cập nhật. Các kẻ tấn công thường nhắm mục tiêu vào những điểm yếu đã biết và khai thác chúng một cách có hệ thống.

Hành Động Khắc Phục và Khuyến Nghị

Zoom đã phát hành bản vá bảo mật để khắc phục tất cả bốn lỗ hổng CVE được công bố. Các tổ chức và người dùng cá nhân cần thực hiện các bước sau ngay lập tức để bảo vệ hệ thống của mình:

• Cập nhật Phần Mềm: Nâng cấp tất cả các cài đặt Zoom Workplace và Zoom Clients dành cho Windows lên phiên bản vá lỗi mới nhất.
• Theo Dõi Bản Tin Bảo Mật: Thường xuyên kiểm tra các bản tin bảo mật của Zoom và các nguồn thông tin uy tín khác để nhận biết các mối đe dọa mới nhất.
• Chính Sách Cập Nhật: Đảm bảo rằng có một chính sách cập nhật phần mềm kịp thời và hiệu quả được áp dụng trên toàn bộ hệ thống.

Zoom khuyến khích tất cả người dùng Windows áp dụng các bản cập nhật này mà không chậm trễ. Hiện tại, không có biện pháp giảm thiểu bổ sung nào ngoài việc nâng cấp lên phiên bản đã được vá lỗi. Điều này có nghĩa là việc trì hoãn cập nhật sẽ trực tiếp khiến hệ thống của bạn tiếp xúc với rủi ro khai thác.

Các quản trị viên hệ thống cần ưu tiên việc triển khai bản vá bảo mật này trên tất cả các thiết bị Zoom đang hoạt động. Sự chủ động trong việc quản lý lỗ hổng CVE là yếu tố then chốt để duy trì an ninh mạng và bảo vệ dữ liệu người dùng khỏi các cuộc tấn công tiềm tàng.

Để biết thêm thông tin chi tiết và tải xuống các bản cập nhật, người dùng nên truy cập trực tiếp Bản tin Bảo mật của Zoom.