「Zoom」クライアントに致命的な脆弱性 ～非認証ユーザーにより権限昇格される恐れ

「Zoom」のクライアントアプリに脆弱性

　米Zoom Video Communicationsは2月13日（現地時間）、オンラインビデオ会議サービス「Zoom」のクライアントアプリに脆弱性があることを明らかにした。深刻度が4段階中もっとも高い「Critical」と評価された問題を含む全7件が公表されている。

　深刻度「Critical」と評価された「CVE-2024-24691」は、Windows版のクライアントアプリ・VDI向けクライアントアプリ・Roomsクライアント・ミーティングSDKに影響。不適切な入力検証のため、認証されていないユーザーによりネットワークを介して権限を昇格されてしまう可能性があるという。

　その他の問題は以下の通り（括弧内は深刻度）。

• CVE-2024-24690：不適切な入力検証によるサービス拒否（Medium）
• CVE-2024-24699：ビジネスロジックにおけるエラーによる情報開示（Medium）
• CVE-2024-24698：不適切な認証による情報開示（Medium）
• CVE-2024-24697：信頼できない検索パスの問題による権限昇格（High）
• CVE-2024-24696：不適切な入力検証による情報開示（Medium）
• CVE-2024-24695：不適切な入力検証による情報開示（Medium）

　いずれの問題も最新版では修正済み。Windows版「Zoom」クライアントアプリの場合、画面右上のプロフィールアイコンをクリックし、［更新を確認］メニューを選択すると、最新版のチェックとアップデートが行える。なお現在、最新のWindows版クライアントは1月31日付で公開されたv5.17.7。