Windows版「Zoom」にDLLインジェクションの欠陥

Zoom Video Communicationのセキュリティアドバイザリ

　米Zoom Video Communicationsは11月15日（現地時間）、ビデオ会議サービス「Zoom」のWindows向けの32bit版クライアントアプリにDLLインジェクションの脆弱性（CVE-2022-28766）があることを明らかにした。ローカルの低特権ユーザーがクライアントのコンテキストで任意のコードを実行できてしまう可能性がある。

　本脆弱性の影響を受けるのは、v5.12.6およびそれ以前のバージョン。「Zoom Rooms for Conference Room」にも影響する。CVSSの基本値は「8.1」で、深刻度は「High」と評価されている。

　執筆時現在、Windows版「Zoom」の最新版はv5.12.8。このバージョンを利用していれば、脆弱性の影響を受けることはない。

　そのほか、Windows版「Zoom Rooms」とmacOS版「Zoom」クライアントのインストーラーにも特権昇格の脆弱性が確認されているが、いずれも最新版は修正済みだ。

　一般的に、アプリを新規にインストールする場合はローカルに保存された古いインストーラーを使いまわしたりせず、信用のおける入手先から最新のインストーラーを入手して利用するべきだ。また、セットアップの際はインストーラーと同じフォルダーに見知らぬファイルが存在しないか確認することも怠らないようにしたい。