ニュース
「Zoom」関連アプリに複数の脆弱性 ~ローカルアクセスを通じて権限昇格されるなどの恐れ
macOS版「Zoom Rooms」や「Zoom VDI」クライアントにも脆弱性を確認
2023年11月16日 06:45
米Zoom Video Communicationsは11月14日(現地時間)、オンラインビデオ会議サービス「Zoom」関連アプリに複数の脆弱性があることを明らかにした。
今回修正された脆弱性は、以下の10件(括弧内は深刻度の評価と「CVSS」の基本値)。「Zoom」クライアントアプリのほか、「Zoom Rooms」や「Zoom VDI」のクライアントに関する脆弱性も報告されている。
- CVE-2023-43582:「Zoom」クライアントにおける不適切な認証処理(Medium:5.5)
- CVE-2023-43591:macOS版「Zoom Rooms」における不適切な権限管理(High:7.8)
- CVE-2023-43590:macOS版「Zoom Rooms」におけるリンク解釈の問題(High:7.8)
- CVE-2023-43588:「Zoom」クライアントにおける不十分な制御フロー管理(Low:3.5)
- CVE-2023-39199:「Zoom」クライアントにおける暗号化問題(Medium:4.9)
- CVE-2023-39206:「Zoom」クライアントにおけるバッファオーバーフロー(Low:3.7)
- CVE-2023-39205:「Zoom」クライアントにおける不適切な条件チェック(Medium:4.3)
- CVE-2023-39204:「Zoom」クライアントにおけるバッファオーバーフロー(Medium:4.3)
- CVE-2023-39203:Windows版「Zoom」デスクトップクライアントと「Zoom VDI」クライアントにおける制御不能なリソース消費(Medium:4.3)
- CVE-2023-39202:Windows版「Zoom Rooms」クライアントと「Zoom VDI」クライアントにおける信頼できない検索パス(Low:3.1)
なかでも、同社の基準で深刻度が4段階中2番目に高い“High”と評価されている、macOS版「Zoom Rooms」の脆弱性「CVE-2023-43591」および「CVE-2023-43590」は、ローカルアクセス経由で権限昇格される恐れがあるので注意が必要。
なお、いずれの脆弱性も最新版へアップデートすることで対応可能だ。常に最新のセキュリティ情報に注意を払い、定期的なアップデートを怠らないようにしたい。