Skip to content

Zoom dasturida aniqlangan bir nechta zaifliklar maxfiy ma’lumotlarni xavf ostida qoldirmoqda!

So‘nggi xavfsizlik hisobotlariga ko‘ra, Zoom dasturida bir nechta yuqori xavf darajasiga ega bo‘lgan zaifliklar aniqlangan. Ushbu zaifliklar millionlab foydalanuvchilarning ma’lumotlarini xavf ostida qoldirib, ma’lumotlarning sizib chiqishiga, huquqlarni oshirish (privilege escalation) hujumlariga va ruxsatsiz kirish imkoniyatlariga yo‘l ochadi.

Zoom tomonidan 2025-yil 11-martda chiqarilgan xavfsizlik byulleteni orqali CVE-2025-27440 (heap-based buffer overflow), CVE-2025-27439 (buffer underflow), CVE-2025-0151 (use-after-free), CVE-2025-0150 (iOS Workplace ilovalarida noto‘g‘ri amallar ketma-ketligi) kabi zaifliklar yoritildi. Ularning xavflilik darajasi CVSS bo‘yicha 7.1 dan 8.5 ballgacha baholanib, Zoom’ning barcha ish stoli, mobil va Workplace ilovalariga ta’sir ko‘rsatishi mumkin.

Zoom dasturidagi xavfsizlik zaifliklari haqida umumiy ma’lumot

🔴 Heap-Based Buffer Overflow (CVE-2025-27440)
Bu zaiflik Zoom Workplace ilovalari tomonidan xotiraga ortiqcha ma’lumot yozilishi natijasida yuzaga keladi. Xususan, Windows va macOS tizimlarida hujumchilar bu xatodan foydalanib, yomon niyatli kodni kiritish va ishlatish imkoniyatiga ega bo‘lishlari mumkin.
📌 Ehtimoliy xavf: Hujumchi zararli tarmoq paketi (network packet) yuborib, oddiy foydalanuvchi huquqidan administrator darajasiga o‘tishi mumkin.

🔴 Buffer Underflow (CVE-2025-27439)
Bu zaiflik Zoom ilovalari tomonidan xotiradan kerakli hajmdan ortiq ma’lumot o‘qilishi natijasida yuzaga keladi. Natijada dastur ishdan chiqishi yoki tizimda maxfiy ma’lumotlarning ochilib qolishiga olib kelishi mumkin.
📌 Ehtimoliy xavf: Ushbu xato yordamida hujumchilar DoS (Denial-of-Service) hujumlarini amalga oshirishi yoki uchrashuvlardagi maxfiy ma’lumotlarni ochib qo‘yishi mumkin.

🔴 Use-After-Free (CVE-2025-0151)
Bu zaiflik Zoom ilovalarida avval bo‘shatilgan xotira maydoniga qayta murojaat qilish natijasida yuzaga keladi.
📌 Ehtimoliy xavf: Hujumchilar ushbu zaiflikdan foydalanib, xotirani buzish, uchrashuv shifrlash kalitlarini qo‘lga kiritish yoki foydalanuvchi hisoblarini buzish imkoniyatiga ega bo‘lishlari mumkin.

🔴 iOS Workplace ilovalaridagi xavfli amallar ketma-ketligi (CVE-2025-0150)
Zoom Workplace ilovalarida avtorizatsiya jarayoni noto‘g‘ri ketma-ketlikda amalga oshirilgani sababli hujumchilar tasdiqlanmagan autentifikatsiya tokenlarini qo‘lga kiritishlari mumkin.
📌 Ehtimoliy xavf: Korporativ muhitlarda ishlatiladigan Zoom Workplace ilovalari orqali hujumchilar uchrashuv ma’lumotlari va autentifikatsiya tokenlarini qo‘lga kiritib, korxona ma’lumotlariga noqonuniy kirish huquqini qo‘lga kiritishi mumkin.

🔴 Yetarlicha tekshirilmagan ma’lumotlar (CVE-2025-0149)
Bu o‘rta xavf darajasidagi zaiflik bo‘lib, Zoom ilovalari noto‘g‘ri formatlangan tarmoq paketlarini tekshirmasdan qabul qilishi natijasida yuzaga keladi.
📌 Ehtimoliy xavf: Bu hujum natijasida tizimga noqonuniy so‘rovlar yuborilib, xizmat rad etish (DoS) sharoitini yaratishi mumkin.

Zaiflik ta’sir qiladigan qurilmalar va dasturlar

🛑 Zaif bo‘lgan versiyalar:
Windows, macOS va Linux uchun Zoom ish stoli ilovalari (5.15.5 va 6.2.0 dan avvalgi versiyalar)
Android va iOS uchun Zoom mobil ilovalari (5.15.5 dan avvalgi versiyalar)
Zoom Meeting SDK va VDI mijozlari (5.14.12 dan avvalgi versiyalar)

Zoom 6.2.0 yoki undan keyingi versiyalarida barcha zaifliklar bartaraf etilgan.

🚨 Zoom kompaniyasi foydalanuvchilarga shoshilinch ravishda ilovani yangilashni tavsiya qilmoqda!

Xavfsizlik choralarini kuchaytirish bo‘yicha tavsiyalar

📌 1. Zoom Workplace, Meeting SDK va VDI mijozlarini tezkor yangilang!
Eski versiyalar bu zaifliklardan himoyalanmagan. 6.2.0 yoki undan keyingi versiyaga o‘tish tavsiya etiladi.

📌 2. Tarmoq darajasidagi xavfsizlikni kuchaytiring!
Zoom dasturidan foydalanadigan qurilmalarni faqat autentifikatsiyadan o‘tgan foydalanuvchilar ishlatishi mumkinligini ta’minlang.

📌 3. Jurnal fayllarini kuzatib boring!
Zoom tizimidagi g‘ayritabiiy hodisalarni, jumladan:
✅ Kutilmagan huquq o‘zgarishlarini
✅ Zoom ilovasi orqali uchrashuvlarning doimiy ishdan chiqishini
✅ Tarmoqdan noma’lum so‘rovlar yuborilganini muntazam kuzatib boring.

📌 4. Korxonalar uchun qo‘shimcha xavfsizlik choralari:
Korxonalar va muhim ma’lumotlarga ega tashkilotlar uchun:
✅ Zoom muqobil sifatida uchdan-uchga (end-to-end) shifrlashga ega platformalarga o‘tish
✅ VPN va tarmoq segmentatsiyasi orqali Zoom trafigini mustahkamlash tavsiya etiladi.

Zoom ilovasida so‘nggi yillarda ko‘p marta xavfsizlik zaifliklari aniqlangan. 2020-yilgi «Zoom-bombing» hodisasi bunga misol bo‘la oladi. Ushbu yangi zaifliklar esa shuni ko‘rsatadiki, Zoom’ning xavfsizlik arxitekturasi hali ham yetarli darajada mustahkam emas.

📌 Tarmoq infratuzilmasi xavfsizligi bo‘yicha saboq:
🔴 Zoom kabi ommabop dasturlar zararsiz vosita emas, balki potensial xavf manbai ekanligini unutmaslik lozim.
🔴 Kompaniyalar Zoom’ni ishlatishdan oldin tarmoq xavfsizligi nazorati va monitoringini kuchaytirishlari kerak.

💡 Maslahat: Agar kompaniyangiz yoki tashkilotingiz maxfiy ma’lumotlar bilan ishlasa, Zoom ilovasidan foydalanishda ehtiyot bo‘lish va qo‘shimcha xavfsizlik choralarini ko‘rish shart!

🚨 Tizim xavfsizligini ta’minlash uchun darhol Zoom yangilanishlarini o‘rnatishni unutmang! 🚨