ニュース
「Zoom」クライアントに致命的な脆弱性 ~非認証ユーザーにより権限昇格される恐れ
他にも6件の脆弱性情報を公表。最新版で修正済み
2024年2月15日 16:49
米Zoom Video Communicationsは2月13日(現地時間)、オンラインビデオ会議サービス「Zoom」のクライアントアプリに脆弱性があることを明らかにした。深刻度が4段階中もっとも高い「Critical」と評価された問題を含む全7件が公表されている。
深刻度「Critical」と評価された「CVE-2024-24691」は、Windows版のクライアントアプリ・VDI向けクライアントアプリ・Roomsクライアント・ミーティングSDKに影響。不適切な入力検証のため、認証されていないユーザーによりネットワークを介して権限を昇格されてしまう可能性があるという。
その他の問題は以下の通り(括弧内は深刻度)。
- CVE-2024-24690:不適切な入力検証によるサービス拒否(Medium)
- CVE-2024-24699:ビジネスロジックにおけるエラーによる情報開示(Medium)
- CVE-2024-24698:不適切な認証による情報開示(Medium)
- CVE-2024-24697:信頼できない検索パスの問題による権限昇格(High)
- CVE-2024-24696:不適切な入力検証による情報開示(Medium)
- CVE-2024-24695:不適切な入力検証による情報開示(Medium)
いずれの問題も最新版では修正済み。Windows版「Zoom」クライアントアプリの場合、画面右上のプロフィールアイコンをクリックし、[更新を確認]メニューを選択すると、最新版のチェックとアップデートが行える。なお現在、最新のWindows版クライアントは1月31日付で公開されたv5.17.7。