Windows版「Zoom」に未修正の脆弱性 ～システムからの警告なしに任意のコードが実行可能

「0patch」の公式ブログ

　スロベニアのセキュリティベンダーACROS Securityは7月9日（現地時間）、ビデオ会議サービス「Zoom」のWindows向けクライアントアプリに未修正の脆弱性が存在することを明らかにした（CVE番号は未割り当て）。ファイルを開くだけで、システムからの警告なしに任意のコードが実行可能になるという。

　ACROS Securityは、「0patch（ゼロパッチ）」と呼ばれるセキュリティパッチの配布システムを提供しているセキュリティ会社。脆弱性が修正されていないOSやアプリに対し、プロセスを再起動することなく適用可能な“マイクロパッチ”と呼ばれるサードパーティ製の修正プログラムを配布している。

　今回公表されたゼロデイ脆弱性問題は匿名の研究者により報告されたものだが、同社が分析したところ、この影響を受ける環境はWindows 7およびそれ以前の古いバージョンに限られるという。Windows 7の一般向けサポートはすでに打ち切られているが「0patch」でWindows 7環境を延命させているユーザーは数百万にも上り、警戒が必要であるとしている。

　同社はすでにこの問題を「Zoom」の開発チームと共有済み。「0patch」の運営ポリシーに基づき、「Zoom」が修正パッチをリリースするまではマイクロパッチを無償で提供する方針だ（それ以降は“0patch PRO”ライセンス保有者のみに提供）。