CVE-2024-39825 and CVE-2024-39818: High-Risk Zoom Flaws Require Urgent Updates
2024/08/13 SecurityOnline — Zoom の Workplace Apps/Rooms Client に存在する、複数の脆弱性に対するセキュリティ情報が公開された。その中で最も深刻なのは、脆弱性 CVE-2024-39825/CVE-2024-39818 であり、いずれの CVSSスコアも 8.5 と評価されている。これらの脆弱性に対してパッチを適用せずに放置した場合には、特権の昇格や情報漏洩につながる恐れが生じる。
主な脆弱性とその影響
- CVE-2024-39825 (CVSS 8.5):バッファ・オーバーフローの脆弱性:認証された攻撃者に特権昇格を許し、 機密性の高いシステム・リソースやデータへの不正アクセスを許す可能性がある。
- CVE-2024-39818 (CVSS 8.5):不適切な保護メカニズムの脆弱性:権限のない第三者に対して機密情報が漏洩する可能性が生じる。
- その他の脆弱性 (CVSS 4.3 – 6.5): 今回のアップデートは、機密情報の漏洩/バッファ・オーバーフロー/信頼されていない検索パス/不適切な権限管理などの問題にも対処している。
影響を受ける製品
以下の Zoom 製品が影響を受ける:
- Zoom Workplace Desktop App (Linux/Windows/macOS)
- Zoom Workplace VDI Client (Windows)
- Zoom Workplace App (iOS/Android)
- Zoom Rooms App (Windows/Mac/iPad)
- Zoom Meeting SDK (Windows/iOS/Android/macOS/Linux)
推奨される対応
ユーザーに推奨されるのは、Zoomソフトウェアの最新バージョンへと、直ちにアップデートすることだ。セキュリティ・パッチを適用し、悪用のリスクを軽減することが最優先されるべきだ。それに加えて、Zoom ユーザーは以下を行う必要がある:
- 信頼できると思われる送信元からのメールであっても、リンクや添付ファイルには十分注意する。
- 安全性が確認されていない Web サイトからファイルをダウンロードしない。
- ウイルス対策ソフトやマルウェア対策ソフトを、最新の状態に保つ。
現時点において、これらの脆弱性を悪用する攻撃は確認されていないと、Zoom は述べている。しかし、一連の問題の深刻さを考慮すると、システムやデータを保護するために、ユーザーに対して推奨されるのは、直ちに行動を起こすことである。
Zoom に複数の脆弱性が発生です。ご利用の方々は、早めのアップデートを検討してください。このブログにおける Zoom 関連の記事は、2024/02/13 の「Zoom の深刻な脆弱性 CVE-2024-24691 (CVSS 9.6) が FIX:特権昇格のおそれ」が最新ですが、アドバイザリを見ると、どうやら月例でアップデートされているようです。たしか、自動アップデートの設定が可能だったはずなので、よろしければ、お確かめください。
IoT OT Security News 
You must be logged in to post a comment.