Zoom修复了Workplace Apps中的多个安全漏洞，其中包括一个高风险漏洞。我们敦促用户更新至2025年5月13日发布的最新版本。

Zoom今天发布了一系列安全修复程序，修复了其Workplace应用程序中的多个漏洞。其中一个漏洞被标记为高危，其他漏洞被标记为中等危。这些更新同时影响通用应用程序版本和Windows特定版本。

对于在商业或教育环境中使用Zoom的任何人来说，尤其是在Windows系统上，这些更新都值得关注。

其中最严重的一个漏洞是CVE-2025-30663列出的“检查时间到使用时间”(TOCTOU)漏洞。此类漏洞发生在系统检查操作是否安全与执行操作之间存在延迟时。在这段短暂的时间内，攻击者可能会进行干扰。该漏洞广泛影响Zoom Workplace应用，并被评为高危漏洞。

其余漏洞的严重程度评级为中等。以下是简要分析：
1. 特殊元素中和不当
影响：所有工作场所应用程序
CVE：CVE-2025-46786、CVE-2025-46787、CVE-2025-30664
问题：这些错误涉及对用户输入的错误处理，这可能允许以意外的方式执行脚本或命令。

2. 缓冲区过度读取
影响：Windows版本
CVE编号：CVE​​-2025-46785
问题：此错误可能导致应用程序读取超出其应读取的数据，从而有泄露敏感信息的风险。

3. 空指针取消引用
影响：通用版本和Windows特定版本
CVE：CVE-2025-30665、CVE-2025-30666、CVE-2025-30667、CVE-2025-30668
问题：尝试访问未设置的内存可能会导致应用程序崩溃，这可能会在某些特殊情况下被利用。

七项公告今日均发布在Zoom官方安全公告页面，并同时发布更新。

Saviynt首席信托官Jim Routh的一条评论中表示：“网络专业人士正在考虑深度伪造检测和预防对当今虚拟会议的影响。事实证明，Zoom Workplace最近公布的软件缺陷/漏洞在目前尤为严重。”

他补充道：“DoS和远程代码执行漏洞可能会造成严重的业务中断，甚至可能导致勒索软件攻击。企业软件公司可以通过更加成熟的开发流程来识别和修复竞争条件，从而实现软件的弹性。”

Zoom在各行各业中被广泛使用，此类漏洞与其他漏洞混杂在一起，可能构成巨大的安全风险。虽然这些技术细节可能不适用于日常用户，但IT团队应该将此视为例行安全维护窗口。快速应用补丁可以降低这些问题被利用的风险。

因此，如果您使用Zoom Workplace应用，请立即更新。补丁已上线并可供下载。管理企业部署的管理员应检查其更新流程，以确保这些修复程序已推广至所有用户终端。