Zoom 和 Xerox 發布關鍵安全更新,修復權限提升和 RCE 漏洞
Zoom與Xerox發布重大安全更新,企業資安警報響起
近日,知名視訊會議軟體供應商Zoom與辦公設備巨頭Xerox相繼發布了關鍵性安全更新,以修補其產品中發現的嚴重資安漏洞。這些漏洞分別涉及權限提升與遠端程式碼執行,對企業網路安全構成了重大威脅。The Hacker News的報導詳細揭露了這些技術細節,並強調了企業應立即採取行動以防止潛在的網路攻擊。
Zoom Windows用戶端權限提升漏洞:CVE-2025-49457
Zoom的Windows用戶端發現了一個嚴重的權限提升漏洞,其編號為CVE-2025-49457,CVSS(通用漏洞評分系統)評分高達9.6分,屬於「危急」等級。該漏洞的根源在於「不信任的搜尋路徑」(Untrusted Search Path)問題,這使得未經身份驗證的攻擊者可以透過網路存取,從而將自己的權限提升到更高的層級。
這個漏洞影響了多款Zoom產品,包括:
這些產品在版本6.3.10之前都受到此漏洞的影響,不過虛擬桌面基礎架構(VDI)的版本則有部分例外。
漏洞機制與潛在威脅
不信任的搜尋路徑漏洞通常發生在應用程式試圖載入一個DLL(動態連結庫)檔案,但卻沒有指定完整的路徑,導致應用程式在標準的系統路徑(如C:\Windows\System32)之外,還會搜尋其他可能被攻擊者控制的路徑。攻擊者可以將惡意的DLL文件放置在這些路徑中,當受害者啟動Zoom應用程式時,惡意DLL就會被載入,從而執行攻擊者預先寫好的程式碼。
由於這個漏洞無需身分驗證即可觸發,且可透過網路進行,這意味著攻擊者可以在受害者不知情的情況下,利用這個漏洞取得系統的最高權限。一旦攻擊者成功取得系統管理員權限,他們就可以執行任意程式碼、安裝惡意軟體、竊取敏感資料,甚至完全控制受害者的電腦。對於使用Zoom進行企業內部會議、分享機密文件的公司而言,這是一個非常嚴重的資安風險。
Xerox FreeFlow Core多重漏洞:CVE-2025-8356與CVE-2025-8355
除了Zoom之外,辦公自動化解決方案供應商Xerox也針對其FreeFlow Core產品發布了安全更新。這次更新修補了多個漏洞,其中兩個最為嚴重。
遠端程式碼執行漏洞:CVE-2025-8356
路徑遍歷漏洞允許攻擊者透過操縱輸入參數中的路徑,存取到伺服器上未經授權的目錄與檔案。在這個案例中,攻擊者可以利用這個漏洞,在Xerox FreeFlow Core伺服器上執行任意程式碼,從而實現遠端控制。根據資安公司Horizon3.ai的分析,這個漏洞非常容易利用,一旦攻擊成功,攻擊者可以執行任意命令、竊取敏感資料,並在企業網路內部進行橫向移動,尋找其他攻擊目標。
XML外部實體(XXE)注入漏洞:CVE-2025-8355
XXE注入漏洞發生在解析XML輸入時,攻擊者可以利用這個漏洞,讀取伺服器上的本地檔案、執行服務器端請求偽造(SSRF)攻擊,甚至在某些情況下可以執行遠端程式碼。雖然這個漏洞的嚴重性低於遠端程式碼執行,但它仍然是企業不可忽視的威脅,因為攻擊者可以利用它來收集情報或發動更進一步的攻擊。
企業應如何應對
面對這些重大的資安漏洞,企業IT部門應立即採取行動,以確保網路安全。
立即更新軟體: 這是最直接且有效的防護措施。
建立補丁管理政策: 企業應建立一套完善的補丁管理流程,定期追蹤所有軟體和設備的安全更新,並在更新發布後儘快進行部署。自動化補丁管理工具可以幫助企業更有效地應對這一挑戰。
強化網路監控與端點防護: 即使所有軟體都已更新,企業也應該持續監控網路流量,尋找任何可疑活動。部署端點偵測與回應(EDR)解決方案,可以幫助企業即時發現和應對潛在的攻擊行為。
資安意識培訓: 應定期對員工進行資安意識培訓,讓他們了解如何識別釣魚郵件、惡意連結,以及為什麼及時更新軟體至關重要。
總結而言,Zoom和Xerox發布的這些重大安全更新再次提醒所有企業,資安威脅無處不在。企業必須將資安防護視為持續性的任務,透過及時更新軟體、強化監控、並提升員工資安意識,才能有效降低被攻擊的風險,保護企業的數位資產。
資料來源:https://thehackernews.com/2025/08/zoom-and-xerox-release-critical.html
Zoom和Xerox近期針對其產品中的嚴重資安漏洞發布了關鍵性更新,Zoom的Windows用戶端存在權限提升漏洞(CVE-2025-49457),而Xerox的FreeFlow Core則有多個漏洞,其中最嚴重的可導致遠端程式碼執行(CVE-2025-8356)。