「Zoom Workplace」に複数の脆弱性 ～権限昇格やサービス拒否（DoS）の問題

「Zoom Workplace」に複数の脆弱性

　米Zoom Video Communicationsは5月13日（現地時間）、オンラインビデオ会議サービス「Zoom Workplace」Windows版に複数の脆弱性があることを明らかにした。最大深刻度は4段階中2番目に高い「High」。

　今回アナウンスされた脆弱性は、以下の7件（括弧内は深刻度の評価とCVSS 3.1の基本値）。

• ZSB-25020：整数アンダーフローにより、認証されたユーザーがネットワークからサービス拒否を実行できる問題（Medium、6.5）
• ZSB-25022：特殊要素が不適切に無効化され、認証されたユーザーがネットワークからアプリの整合性に影響を与える問題（Medium、4.3）
• ZSB-25021：バッファオーバーリードにより、認証されたユーザーがネットワークからサービス拒否を実行できる（Medium、6.5）
• ZSB-25019：NULL ポインタ参照により、認証されたユーザーがネットワークからサービス拒否を実行できる問題（Medium、6.5）
• ZSB-25018：NULL ポインタ参照により、認証されたユーザーがネットワークからサービス拒否を実行できる問題（Medium、6.5）
• ZSB-25017：特殊要素が不適切に無効化され、認証されたユーザーがローカルから権限を昇格できる問題（Medium、6.6）
• ZSB-25016：チェック時間と使用時間の競合が発生すると、認証されたユーザーがローカルから権限を昇格できる問題（High、8.8）

　これらの脆弱性はアップデートにより、セキュリティを確保できる。Windows版「Zoom」アプリの場合、画面右上のプロフィールアイコンをクリックし、［更新をチェック］メニューを選択すると、最新版のチェックとアップデートが行える。

　なお執筆時現在、Windows版「Zoom Workplace」アプリの最新版は4月21日付でリリースされたv6.4.6。できるだけ早くアップデートすることをお勧めする。

Windows版「Zoom Workplace」v6.4.6