ニュース
「Zoom」に“Critical”な脆弱性 ~非認証ユーザーがネット経由で権限昇格の恐れ
対策済みバージョンへのアップデートを
2023年8月10日 06:45
米Zoom Video Communicationsは8月8日(現地時間)、オンラインビデオ会議サービス「Zoom」のクライアントに複数の脆弱性があることを明らかにした。
今回アナウンスされた脆弱性は、以下の15件(括弧内は深刻度の評価と「CVSS」の基本値)。
- CVE-2023-39209:Windows版「Zoom」における不適切な検証(Medium:5.9)
- CVE-2023-39214:「Zoom Meeting SDK」における機密情報の公開(High:7.6)
- CVE-2023-39213:「Zoom Rooms」および「Zoom VDI」クライアントにおける特定要素の不適切な無効化(Critical:9.6)
- CVE-2023-39212:「Zoom Rooms」における信頼できない検索パス(High:7.9)
- CVE-2023-39211:Windows版「Zoom」および「Zoom Rooms」における不適切な権限管理(High:8.8)
- CVE-2023-39210:「Zoom Meeting SDK」における機密情報の平文テキストでの保存(Medium:5.5)
- CVE-2023-39218:「Zoom」クライアントなどにおけるサーバーサイドのセキュリティ強制(Medium:6.5)
- CVE-2023-39217:「Zoom Meeting SDK」における不適切な入力検証(Medium:5.3)
- CVE-2023-39216:Windows版「Zoom」における不適切な入力検証(Critical:9.6)
- CVE-2023-36535:Windows版「Zoom」におけるサーバーサイドのセキュリティ強制(High:7.1)
- CVE-2023-36534:Windows版「Zoom」におけるパストラバーサル(Critical:9.3)
- CVE-2023-36533:「Zoom」クライアントなどにおける制御不能なリソース消費(High:7.1)
- CVE-2023-36532:「Zoom」クライアントなどにおけるバッファオーバーフロー(Medium:5.9)
- CVE-2023-36541:Windows版「Zoom」におけるデータ信頼性の検証が不十分(High:8)
- CVE-2023-36540:Windows版「Zoom」における信頼できない検索パス(High:7.3)
中でも同社の基準で深刻度が最も高い“Critical”と評価されている「CVE-2023-39213」、「CVE-2023-39216」、「CVE-2023-36534」は、いずれも認証されていないユーザーがネットワーク経由で権限を昇格できてしまう可能性があり、注意が必要だ。
いずれも最新版の「Zoom」v5.15.6では解決されている。対策済みバージョンへのアップデートを怠らないようにしたい。