「Zoom」に複数の脆弱性 ～誤った領域へのリソースの露出、不正な権限管理など

同社のアナウンス

　米Zoom Video Communicationsは6月13日（現地時間）、オンラインビデオ会議サービス「Zoom」のクライアントに複数の脆弱性があることを明らかにした。

　今回アナウンスされた脆弱性は、以下の通り（括弧内は深刻度の評価と「CVSS」の基本値）。

• CVE-2023-34115：「Zoom Meeting SDK」における入力サイズを確認しないバッファのコピー（Medium：4.0）
• CVE-2023-34114：「Zoom」クライアントなどにおける誤った領域へのリソースの露出（High：8.3）
• CVE-2023-34113：「Zoom」クライアントのデータ信頼性の検証が不十分（High：8.0）
• CVE-2023-34122：「Zoom」インストーラーの不適切な入力検証（High：7.3）
• CVE-2023-34121：「Zoom」クライアントなどにおける不適切な入力検証（Medium：4.9）
• CVE-2023-34120：「Zoom」クライアントなどにおける不適切な権限管理（High：8.7）
• CVE-2023-28603：「Zoom VDI」クライアントインストーラーにおける不適切なアクセス制御（High：7.7）
• CVE-2023-28602：「Zoom」クライアントにおける暗号署名の不適切な検証（Low：2.8）
• CVE-2023-28601：「Zoom」クライアントにおけるメモリバッファ境界内操作の不適切な制限（Low：2.0）
• CVE-2023-28600：「Zoom」クライアントにおける不適切なアクセス制御（Medium：6.6）
• CVE-2023-28599：「Zoom」クライアントにおけるHTMLインジェクション脆弱性（Medium：4.2）
• CVE-2023-28598：「Zoom Linux」クライアントにおけるHTMLインジェクション脆弱性（High：7.5）

　いずれも最新版の「Zoom」v5.14.11では解決されている。対策済みバージョンへのアップデートを怠らないようにしたい。