Zoom Issues Security Update Addressing Vulnerabilities in Workplace and SDK Apps
2024/11/12 SecurityOnline — Zoom が発表したセキュリティ情報は、Zoom Workplace Apps/SDK/Rooms Clients プラットフォームに影響を及ぼす、複数の脆弱性に対処するものだ。これらの脆弱性の悪用に成功した攻撃者は、特権の昇格/機密情報の漏えい/任意のコード実行など可能性を手にする。
最も深刻な脆弱性である CVE-2024-45421 (CVSS:8.5) は、バッファ・オーバーフローの欠陥であり、ネットワークを隠してアクセスする認証済みの攻撃者に対して、特権昇格を許す可能性のあるものだ。この脆弱性が影響を及ぼすのは、Windows/macOS/iOS/Android/Linux 用の、Zoom Workplace App/Zoom Rooms Client/Zoom Video SDK/Zoom Meeting SDK バージョン 6.2.0 未満となる。
もう1つの、深刻度が高い脆弱性 CVE-2024-45419 (CVSS:8.1) は、不適切な入力検証に関するものである。この脆弱性の悪用に成功した未認証の攻撃者は、ネットワーク・アクセスを介して、機密情報へのアクセスを達成する可能性を手にする。この脆弱性の影響が及ぶ範囲は、上記の CVE-2024-45421 と同じ Zoom 製品群となる。
Zoom のセキュリティ・アドバイザリでは、その他の脆弱性についても、詳細な説明が提供されている。
- CVE-2024-45422 (CVSS 6.5):Zoom Apps – 不適切な入力検証の脆弱性
- CVE-2024-45420 (CVSS 4.3):Zoom Apps – 制御不能なリソース消費の脆弱性
- CVE-2024-45418 (CVSS 5.4):macOS 用 Zoom Apps – シンボリックリンク追跡の脆弱性
- CVE-2024-45417 (CVSS 6.0):Zoom Apps for macOS – 制御不能なリソース消費の脆弱性
すべてのユーザーに対して Zoom が強く推奨するのは、それぞれのアプリケーションのバージョンを、6.2.0 以降へと速やかに更新することだ。このアップデートは、すべての脆弱性に対するパッチを取り込むものであり、潜在的な攻撃のリスクを軽減するために不可欠なものである。
Zoom の公式サイトから、Zoom アプリケーションの最新バージョンのダウンロードが可能になっている。
文中のリンクから、Zoom セキュリティ情報を参照すると、2024/11/12 付けで6件の脆弱性体法が提供されていることが分かります。この日は、Microsoft と Adobe の Patch Tuesday の日であり、そこに合わせた月イチ・アップデートにしているようです。よろしければ、Zoom で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.