In der Videokonferenzsoftware Zoom haben die Entwickler mehrere Sicherheitslücken gestopft. Eine gilt als kritisches Risiko, drei als hochriskant. Nutzer und Admins sollten sicherstellen, dass sie auf die aktuellen Fassungen aktualisiert haben.
Eine unzureichende Überprüfung von Nutzereingaben führt in Zoom Desktop Client for Windows vor Version 7.0.0 und Zoom VDI Client for Windows vor dem Stand 7.0.10, 6.6.15 sowie 6.5.18 dazu, dass nicht angemeldete Nutzer aus dem Internet mit Netzwerkzugriffen Konten übernehmen können (CVE-2026-53412, CVSS 9.8, Risiko „kritisch“). Tiefergehende Details nennt Zoom nicht. Temporäre Gegenmaßnahmen führt der Hersteller ebenfalls nicht auf.
Außerdem können lokale angemeldete Angreifer aufgrund unzureichender Eingabeprüfungen in Zoom Workplace VDI Plugin for Windows vor Version 6.6.14 ihre Rechte ausweiten (CVE-2026-53411, CVSS 7.8, Risiko „hoch“). Das gelingt angemeldeten Nutzern ebenfalls aufgrund einer unzureichenden Rechteverwaltung in Zoom Rooms for Windows vor 7.1.0 (CVE-2026-53409, CVSS 7.8, Risiko „hoch“). Bei Installations- oder Deinstallationsprozessen bestimmter Zoom-Clients unter Windows können angemeldete Nutzer ihre Rechte im System ausweiten, da eine Race-Condition (Time-of-check to time-of-use, TOCTOU) darin auftreten kann (CVE-2026-53410, CVSS 7.0, Risiko „hoch“). Betroffen sind die Fassungen Zoom Workplace for Windows vor 7.0.5, Zoom Workplace VDI Client for Windows vor 6.5.17 und 6.6.14, Zoom Workplace VDI plugin for Windows vor 6.5.17 und 6.6.14, Zoom Rooms for Windows vor 7.0.5 sowie Remote Control for Zoom Contact Center for Windows vor Version 7.0.0.







