CVE-2023-49647: A High-Risk Zoom Vulnerability
2024/01/10 SecurityOnline — バーチャル・ミーティングやウェビナーがユビキタス化したデジタル時代において、Zoom Video Communications のソフトウェアである Zoom Meetings が、バーチャル・コミュニケーションの要として活躍している。しかし、Zoom Meetings に深刻な特権昇格の脆弱性 CVE-2023-49647 が発見されたことで、遠隔地との交流が広まる時代における、サイバー・セキュリティの重要性にスポットライトが当たっている。
この脆弱性 CVE-2023-49647 (CVSS:8.8) は、実質的なセキュリティの抜け穴であり、個人/組織ユーザーを危険な状況に陥れるものだ。この脆弱性は、Windows Desktop Client/Windows VDI Client に加えて、Windows Video SDK/Meeting SDK における、バージョン 5.16.10 以下の Zoom 製品に存在する。
この問題の核心は、不適切なアクセス制御にある。この脆弱性は、認証されたユーザーに対するローカルアクセスを介した特権昇格を許し、システム内での不正な操作やアクセスにいたる可能性を生じる。この脆弱性が悪用されると、権限が昇格され、Zoom セッションや、ユーザーデータの機密性/完全性に対する、深刻な脅威を引き起こすことになる。
CVE-2023-49647 の影響を受ける製品は、以下の通りである:
- Zoom Desktop Client for Windows (バージョン 5.16.10 以下)
- VDI Client for Windows (バージョン5.16.10 以下:5.14.14/5.15.12 を除く)
- Zoom Video SDK for Windows (バージョン 5.16.10 以下)
- Zoom Meeting SDK for Windows (バージョン 5.16.10 以下)
この脆弱性は、セキュリティ研究者である sim0nsecurity により発見された。
日常業務で Zoom に依存しているユーザーや組織にとって、この脆弱性から身を守るための当面の対策は、ソフトウェアをアップデートすることだ。最新アップデートの適用もしくは、 Zoom ソフトウェアの最新バージョンのダウンロードが必須となる。この問題に対して、Zoom は最新バージョン 5.17.2 (28415) で対処し、今回のセキュリティ侵害を阻止している。ユーザーは Zoom の公式ダウンロード・ページから、これらのアップデートにアクセスできる。
Zoom Meetings の Windows 版に、特権昇格の脆弱性 CVE-2023-49647 が発生したとのことです。たしか、Zoom には自動アップデートがあったと思うので、設定方法などに関しては、2021/11/29 の「Zoom for Windows/macOS に自動アップデートが提供された」をご参照ください。よろしければ、Zoom で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.