「Zoom」関連アプリに複数の脆弱性 ～ローカルアクセスを通じて権限昇格されるなどの恐れ

同社のSecurity Bulletins

　米Zoom Video Communicationsは11月14日（現地時間）、オンラインビデオ会議サービス「Zoom」関連アプリに複数の脆弱性があることを明らかにした。

　今回修正された脆弱性は、以下の10件（括弧内は深刻度の評価と「CVSS」の基本値）。「Zoom」クライアントアプリのほか、「Zoom Rooms」や「Zoom VDI」のクライアントに関する脆弱性も報告されている。

• CVE-2023-43582：「Zoom」クライアントにおける不適切な認証処理（Medium：5.5）
• CVE-2023-43591：macOS版「Zoom Rooms」における不適切な権限管理（High：7.8）
• CVE-2023-43590：macOS版「Zoom Rooms」におけるリンク解釈の問題（High：7.8）
• CVE-2023-43588：「Zoom」クライアントにおける不十分な制御フロー管理（Low：3.5）
• CVE-2023-39199：「Zoom」クライアントにおける暗号化問題（Medium：4.9）
• CVE-2023-39206：「Zoom」クライアントにおけるバッファオーバーフロー（Low：3.7）
• CVE-2023-39205：「Zoom」クライアントにおける不適切な条件チェック（Medium：4.3）
• CVE-2023-39204：「Zoom」クライアントにおけるバッファオーバーフロー（Medium：4.3）
• CVE-2023-39203：Windows版「Zoom」デスクトップクライアントと「Zoom VDI」クライアントにおける制御不能なリソース消費（Medium：4.3）
• CVE-2023-39202：Windows版「Zoom Rooms」クライアントと「Zoom VDI」クライアントにおける信頼できない検索パス（Low：3.1）

　なかでも、同社の基準で深刻度が4段階中2番目に高い“High”と評価されている、macOS版「Zoom Rooms」の脆弱性「CVE-2023-43591」および「CVE-2023-43590」は、ローカルアクセス経由で権限昇格される恐れがあるので注意が必要。

　なお、いずれの脆弱性も最新版へアップデートすることで対応可能だ。常に最新のセキュリティ情報に注意を払い、定期的なアップデートを怠らないようにしたい。