ភាពងាយរងគ្រោះនៃ Zoom Workplace សម្រាប់ Windows

Zoom បានចេញផ្សាយព្រឹត្តិបត្រសុវត្ថិភាពចំនួនបួននៅថ្ងៃទី 10 ខែមីនា ឆ្នាំ 2026 ដោយបង្ហាញពីភាពងាយរងគ្រោះជាច្រើននៅទូទាំងកម្មវិធីកុំព្យូទ័រដែលមានមូលដ្ឋានលើ Windows របស់ខ្លួន។

ចំណុចខ្សោយទាំងនេះ ចាប់ពីកម្រិតខ្ពស់រហូតដល់ធ្ងន់ធ្ងរ អាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារបង្កើនសិទ្ធិលើប្រព័ន្ធដែលរងផលប៉ះពាល់ ដោយមានចំណុចខ្សោយធ្ងន់ធ្ងរមួយដែលអាចកេងប្រវ័ញ្ចបានដោយអ្នកវាយប្រហារពីចម្ងាយដែលមិនបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ដោយគ្មានការចូលប្រើប្រព័ន្ធពីមុន។

ចំណុចខ្សោយធ្ងន់ធ្ងរបំផុត ដែលត្រូវបានតាមដានថាជា CVE-2026-30903 (ZSB-26005) ត្រូវបានចាត់ថ្នាក់ថាធ្ងន់ធ្ងរ និងផ្តោតលើមុខងារ Mail នៅក្នុង Zoom Workplace សម្រាប់ Windows។

ចំណុចខ្សោយនេះកើតចេញពីការគ្រប់គ្រងខាងក្រៅនៃឈ្មោះឯកសារ ឬផ្លូវ ដែលជាចំណុចខ្សោយមួយដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហាររៀបចំឯកសារយោងដើម្បីអនុវត្តប្រតិបត្តិការដែលគ្មានការអនុញ្ញាត។ អ្នកប្រើប្រាស់ដែលមិនបានផ្ទៀងផ្ទាត់អាចទាញយកប្រយោជន៍ពីចំណុចខ្សោយនេះតាមរយៈការចូលប្រើបណ្តាញដើម្បីបង្កើនសិទ្ធិលើប្រព័ន្ធដែលរងផលប៉ះពាល់។

វ៉ិចទ័រ CVSS បញ្ជាក់ថាការវាយប្រហារនេះមិនតម្រូវឱ្យមានការផ្ទៀងផ្ទាត់ទេ ហើយអាចត្រូវបានចាប់ផ្តើមពីចម្ងាយ ដែលធ្វើឱ្យវាក្លាយជាការបង្ហាញដ៏គ្រោះថ្នាក់បំផុតក្នុងចំណោមការបង្ហាញទាំងបួន។ ការដំឡើង Zoom Workplace សម្រាប់ Windows ទាំងអស់ដែលដំណើរការកំណែមុន 6.6.0 ត្រូវបានរងផលប៉ះពាល់។

ភាពងាយរងគ្រោះនៃការគ្រប់គ្រងសិទ្ធិ និងការផ្ទៀងផ្ទាត់ការបញ្ចូល

ចំណុចខ្សោយធ្ងន់ធ្ងរខ្ពស់ចំនួនបីបន្ថែមទៀតបានបំពេញបន្ថែមការបង្ហាញ។ CVE-2026-30902 (ZSB-26004) ប៉ះពាល់ដល់ Zoom Clients សម្រាប់ Windows និងពាក់ព័ន្ធនឹងការគ្រប់គ្រងសិទ្ធិមិនត្រឹមត្រូវ ដែលសិទ្ធិអ្នកប្រើប្រាស់ដែលបានកំណត់មិនត្រឹមត្រូវអាចត្រូវបានរំលោភបំពានដើម្បីទទួលបានការចូលប្រើដោយគ្មានការអនុញ្ញាត។

CVE-2026-30901 (ZSB-26003) កំណត់គោលដៅលើ Zoom Rooms សម្រាប់ Windows ហើយពាក់ព័ន្ធនឹង Impority Input Validation ដែលជាប្រភេទនៃភាពងាយរងគ្រោះដែលអនុញ្ញាតឱ្យការបញ្ចូលមិនត្រឹមត្រូវ ឬមិនបានរំពឹងទុកបង្កឱ្យមានឥរិយាបថដែលមិនបានគ្រោងទុក ដែលអាចរួមបញ្ចូលទាំងការប្រតិបត្តិកូដ ឬការផ្លាស់ប្តូរសិទ្ធិ។

CVE-2026-30900 (ZSB-26002) ប៉ះពាល់ដល់ Zoom Workplace Clients សម្រាប់ Windows ហើយត្រូវបានពិពណ៌នាថាជាកំហុស Impority Check ដែលបង្ហាញពីការបរាជ័យក្នុងតក្កវិជ្ជាផ្ទៀងផ្ទាត់ដែលអាចត្រូវបានប្រើប្រាស់ដើម្បីរំលងការគ្រប់គ្រងការចូលប្រើ។

Zoom បានជួសជុលបញ្ហាការកើនឡើងសិទ្ធិស្រដៀងគ្នានៅខាង Windows ជាប់លាប់ក្នុងវដ្តថ្មីៗ រួមទាំង Critical CVE-2025-49457 (CVSS 9.6) ដែលបានបង្ហាញនៅក្នុងខែសីហា ឆ្នាំ 2025 ដែលក៏អនុញ្ញាតឱ្យមានការកើនឡើងសិទ្ធិដែលមានមូលដ្ឋានលើបណ្តាញដែលមិនបានផ្ទៀងផ្ទាត់នៅទូទាំងអតិថិជន Windows ច្រើន។

ការកាត់បន្ថយ

Zoom បានចេញបំណះដើម្បីដោះស្រាយភាពងាយរងគ្រោះទាំងបួន។ អង្គការ និងអ្នកប្រើប្រាស់ម្នាក់ៗគួរតែអនុវត្តជំហានដូចខាងក្រោមជាបន្ទាន់៖

-ធ្វើបច្ចុប្បន្នភាពការដំឡើង Zoom Workplace for Windows ទាំងអស់ទៅកំណែ 6.6.0 ឬថ្មីជាងនេះ។

-ធ្វើបច្ចុប្បន្នភាព Zoom Rooms for Windows និង Zoom Clients for Windows ទៅកាន់កំណែចុងក្រោយបំផុតដែលមាន។

-ទាញយកការអាប់ដេតដោយផ្ទាល់ពីវិបផតថលទាញយក Zoom ផ្លូវការនៅ zoom.us/download។

-ផ្តល់អាទិភាពដល់ចំណុចបញ្ចប់បំណះដែល Zoom Workplace ត្រូវបានប្រើប្រាស់យ៉ាងសកម្ម ជាពិសេសនៅក្នុងបរិស្ថានផ្ទៃតុនិម្មិតដែលប្រើប្រាស់អ៊ីមែលច្រើន ឬសហគ្រាស។

-ធ្វើសវនកម្មការកំណត់រចនាសម្ព័ន្ធសិទ្ធិអ្នកប្រើប្រាស់នៅក្នុងការដាក់ពង្រាយ Zoom ដើម្បីកំណត់កាំផ្ទុះក្នុងករណីមានការកេងប្រវ័ញ្ច។

-ត្រួតពិនិត្យចរាចរណ៍បណ្តាញសម្រាប់គំរូចូលប្រើឯកសារដែលទាក់ទងនឹង Zoom ដែលមិនប្រក្រតី ដែលអាចបង្ហាញពីការប៉ុនប៉ងកេងប្រវ័ញ្ចប្រឆាំងនឹង CVE-2026-30903។