Di tengah makin populernya penggunaan ruang konferensi digital, Zoom kembali mengumumkan dua celah keamanan penting yang wajib banget diperhatikan para admin IT. Dua kerentanan ini ditemukan pada aplikasi Zoom Rooms untuk Windows dan macOS, dan bisa dimanfaatkan oleh penyerang yang sudah memiliki akses lokal ke perangkat. Dampaknya? Mulai dari privilege escalation sampai kebocoran data sensitif.
Baca Juga : Sejarah dan Versi Windows dari DOS Hingga Sekarang
Kerentanan tersebut tercatat sebagai ZSB-25050 dan ZSB-25051, dan memengaruhi semua versi Zoom Rooms sebelum 6.6.0. Nilai CVSS-nya juga tidak main-main, mulai dari tingkat sedang hingga tinggi. Buat perusahaan yang mengandalkan Zoom Rooms untuk ruang meeting—mulai dari ruang rapat kecil sampai boardroom—situasi ini jelas meningkatkan risiko, terutama jika perangkat digunakan secara bergantian oleh banyak orang.
Masalah utamanya bersumber dari dua hal:
-
Kegagalan mekanisme perlindungan software downgrade pada Windows, dan
-
Kontrol eksternal terhadap nama atau path file pada macOS.
Keduanya berbeda, tapi punya satu kesamaan: sama-sama bisa dieksploitasi lewat akses lokal. Para pakar keamanan pun menyarankan perusahaan untuk segera melakukan patching sebelum ada pihak yang mencoba meningkatkan hak akses tanpa izin atau mengintip data sensitif di dalam sistem.
Software Downgrade Protection Bisa Dibypass (ZSB-25050)
Di platform Windows, Zoom Rooms versi sebelum 6.6.0 mengalami kegagalan pada mekanisme pelindung downgrade. Artinya, pengguna lokal yang tidak terautentikasi bisa memanipulasi kondisi sistem untuk mendapatkan hak akses lebih tinggi.
Celah ini dilaporkan oleh seorang peneliti anonim dan diklasifikasikan sebagai High Severity. Dengan memanfaatkan bug ini, pelaku bisa mengambil kendali lebih dalam pada perangkat, yang tentu berbahaya untuk lingkungan perusahaan yang banyak memakai Zoom Rooms sebagai media kolaborasi.
Berikut detail teknisnya:
| Bulletin | CVE ID | CVSS Severity | CVSS Score | Vector String | Description |
|---|---|---|---|---|---|
| ZSB-25050 | CVE-2025-67460 | High | 7.8 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | Kegagalan perlindungan downgrade memungkinkan privilege escalation melalui akses lokal. |
Versi Terdampak: Zoom Rooms for Windows < 6.6.0
Intinya, siapa pun yang sudah mencapai level akses lokal bisa memanfaatkan celah ini untuk “naik pangkat” di dalam sistem tanpa proses autentikasi yang seharusnya.
Kontrol Path File Bisa Picu Kebocoran Informasi (ZSB-25051)
Sementara di macOS, kasusnya sedikit berbeda. Di sini, seorang pengguna yang sudah terautentikasi bisa memanfaatkan celah kontrol eksternal terhadap nama atau path file untuk mengakses data yang seharusnya tidak boleh mereka lihat.
Risikonya memang dikategorikan sebagai medium, karena butuh interaksi pengguna. Tapi dalam setup enterprise—apalagi di ruang meeting bersama—celah seperti ini bisa saja jadi pintu awal bocornya informasi sensitif.
Detail CVE untuk macOS adalah sebagai berikut:
| Bulletin | CVE ID | CVSS Severity | CVSS Score | Vector String | Description |
|---|---|---|---|---|---|
| ZSB-25051 | CVE-2025-67461 | Medium | 5.0 | CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N | Kontrol eksternal pada nama atau path file memungkinkan pelaku mengakses informasi sensitif. |
Versi Terdampak: Zoom Rooms for macOS < 6.6.0
Walaupun tidak separah kasus Windows, tetap saja ini menjadi perhatian penting bagi administrator yang mengelola banyak perangkat Zoom Rooms dalam satu jaringan internal.
Patch Sudah Tersedia, dan Pembaruan Sangat Dianjurkan
Zoom sendiri sudah merilis perbaikan lewat update versi 6.6.0. Pembaruan bisa langsung diunduh melalui halaman resmi mereka. Sejauh ini, belum ada laporan bahwa celah ini telah dieksploitasi secara aktif. Namun tetap perlu waspada, karena tipe kerentanan yang membutuhkan akses lokal biasanya jadi sasaran empuk untuk skenario insider threat atau endpoint yang sudah terkompromi sebelumnya.
Kerentanan ini juga mengingatkan kita bahwa aplikasi kolaborasi—yang kini jadi tulang punggung banyak aktivitas hybrid working—tetap punya potensi risiko keamanan. Perusahaan perlu meninjau ulang penerapan Zoom Rooms mereka, memastikan semua perangkat sudah diperbarui, menerapkan prinsip least privilege, dan memantau setiap aktivitas downgrade yang tidak wajar.
Saat ini CISA belum merilis peringatan resmi, tapi database seperti NVD kemungkinan akan segera menampilkan kedua CVE tersebut.
Baca Juga : YouTube Akan Perketat Aturan Game Kekerasan dan Judi Mulai November Ini!
Kesimpulannya, jika perusahaan Anda memakai Zoom Rooms untuk mendukung aktivitas meeting harian, pembaruan ke versi terbaru adalah langkah wajib yang tidak boleh ditunda. Memastikan setiap perangkat aman bukan hanya soal mencegah serangan, tetapi juga menjaga kelancaran operasional seluruh tim di tengah pola kerja yang semakin fleksibel.
