「Zoom」に“Critical”な脆弱性 ～非認証ユーザーがネット経由で権限昇格の恐れ

同社のアナウンス

　米Zoom Video Communicationsは8月8日（現地時間）、オンラインビデオ会議サービス「Zoom」のクライアントに複数の脆弱性があることを明らかにした。

　今回アナウンスされた脆弱性は、以下の15件（括弧内は深刻度の評価と「CVSS」の基本値）。

• CVE-2023-39209：Windows版「Zoom」における不適切な検証（Medium：5.9）
• CVE-2023-39214：「Zoom Meeting SDK」における機密情報の公開（High：7.6）
• CVE-2023-39213：「Zoom Rooms」および「Zoom VDI」クライアントにおける特定要素の不適切な無効化（Critical：9.6）
• CVE-2023-39212：「Zoom Rooms」における信頼できない検索パス（High：7.9）
• CVE-2023-39211：Windows版「Zoom」および「Zoom Rooms」における不適切な権限管理（High：8.8）
• CVE-2023-39210：「Zoom Meeting SDK」における機密情報の平文テキストでの保存（Medium：5.5）
• CVE-2023-39218：「Zoom」クライアントなどにおけるサーバーサイドのセキュリティ強制（Medium：6.5）
• CVE-2023-39217：「Zoom Meeting SDK」における不適切な入力検証（Medium：5.3）
• CVE-2023-39216：Windows版「Zoom」における不適切な入力検証（Critical：9.6）
• CVE-2023-36535：Windows版「Zoom」におけるサーバーサイドのセキュリティ強制（High：7.1）
• CVE-2023-36534：Windows版「Zoom」におけるパストラバーサル（Critical：9.3）
• CVE-2023-36533：「Zoom」クライアントなどにおける制御不能なリソース消費（High：7.1）
• CVE-2023-36532：「Zoom」クライアントなどにおけるバッファオーバーフロー（Medium：5.9）
• CVE-2023-36541：Windows版「Zoom」におけるデータ信頼性の検証が不十分（High：8）
• CVE-2023-36540：Windows版「Zoom」における信頼できない検索パス（High：7.3）

　中でも同社の基準で深刻度が最も高い“Critical”と評価されている「CVE-2023-39213」、「CVE-2023-39216」、「CVE-2023-36534」は、いずれも認証されていないユーザーがネットワーク経由で権限を昇格できてしまう可能性があり、注意が必要だ。

　いずれも最新版の「Zoom」v5.15.6では解決されている。対策済みバージョンへのアップデートを怠らないようにしたい。