CVE-2024-24691 (CVSS 9.6): Critical Zoom Privilege Escalation Vulnerability
2024/02/13 SecurityOnline — 人気のビデオ会議プラットフォーム Zoom は、Windows/iOS/Android クライアントに影響を及ぼす、合計で7件の深刻な脆弱性に対処した。IT チームおよび個人ユーザーに推奨されるのは、潜在的な攻撃から保護するための迅速なパッチである。
最も深刻な脆弱性 CVE-2024-24691 (CVSS:9.6) は、脅威アクターに対して特権昇格を許すものであり、脆弱なシステムの制御を奪われる可能性がある。この欠陥が影響を及ぼす製品は、Zoom Desktop Client for Windows/Zoom VDI Client for Windows/Zoom Meeting SDK for Windows となる。
Zoom のアドバイザリには、「Zoom Desktop Client for Windows/Zoom VDI Client for Windows/Zoom Meeting SDK for Windows にに存在する、不適切な入力検証の脆弱性により、認証されていないユーザーがネットワーク・アクセス経由で、特権昇格する可能性がある」と記されている。
CVE-2024-24691 が影響を及ぼすのは、以下の各製品となる。
- Zoom Desktop Client for Windows:バージョン5.16.5以前
- Zoom VDI Client for Windows:バージョン 5.16.10 以前 (5.14.14/5.15.12 を除く)
- Zoom Meeting SDK for Windows:バージョン 5.16.5 以前
- Zoom Rooms Client for Windows:バージョン 5.17.0 以前
パッチが適用されていない Zoom ソフトウェアにより、企業や個人に深刻なセキュリティリスクが生じる恐れがある。これらの脆弱性の悪用に成功したハッカーにより、以下の被害が生じる可能性がる:
- 機密データの窃盗
- ビデオ会議の妨害
- マルウェアのインストール
- 影響を受けたシステムの完全な制御
さらに Zoom は、信頼されていない検索パスに関連する、深刻度の高い脆弱性 CVE-2024-24697 (CVSS:7.2) に対するパッチも発行した。この脆弱性により、一部の 32Bit Windows Zoom クライアントにおいて、認証済みユーザーによる権限昇格が生じる可能性がある。
以下の対策を講じる必要がある:
- Zoom のアップデート:すべての Windows/iOS/Android デバイスに対して、最新の Zoom アップデートをインストールする。Zoom クライアント内でアップデートを確認する方式と、最新バージョンを直接ダウンロードする方式がある。
- セキュリティ情報を監視する: Zoom のセキュリティ情報ページをサブスクライブし、重要なアップデートを確認する。
- 強力なパスワードポリシーの実施: 強力で固有のパスワードを設定し、パスワードの再利用を避ける必要がある。
Zoom の Windows/iOS/Android クライアントに、複数の脆弱性が発生とのことです。かなり多くのユーザーが対象になるはずなので、それぞれのバージョンをご確認ください。いま、自分の IPad クライアントを確認したら、バージョン 5.17.5 になっていました。すでに自動で、アップデートが済んでいるのでしょう。よろしければ、Zoom で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.