CVE-2025-0147: Zoom Fixes High-Severity Security Flaw
2025/01/14 SecurityOnline — Zoom が発表したのは、同社の製品エコシステム全体にわたる、さまざまな深刻度を持つ、6 つの脆弱性に関する情報である。これらの脆弱性は、Linux/Windows/macOS/Android などの各種のプラットフォームに影響を及ぼし、機密情報の漏洩/権限の昇格/サービス拒否 (DoS) などに加えて、データ整合性の喪失にもいたるという。管理者とユーザーに対して強く推奨されるのは、最新の更新プログラムを速やかに適用し、潜在的なリスクを軽減することである。
Zoom がリリースしたアップデートは、以下の脆弱性に対処するものである:
- CVE-2025-0142 (CVSS:4.3):Zoom Jenkins ボット・プラグインにおける、機密情報のクリア・テキスト・ストレージ
- CVE-2025-0143 (CVSS:4.3):Zoom Workplace App for Linux における境界外書き込み
- CVE-2025-0144 (CVSS:3.1):Zoom Workplace App における境界外書き込み
- CVE-2025-0145 (CVSS:4.6): Zoom Workplace App for Windows インストーラーにおける信頼できない検索パス
- CVE-2025-0146 (CVSS:3.9):Zoom Workplace App for macOS インストーラーにおける Symlink 追跡
- CVE-2025-0147 (CVSS:8.8):Zoom Workplace App for Linux におけるタイプ・コンヒュージョン
最も深刻な脆弱性 CVE-2025-0147 は、Zoom Workplace App for Linux におけるタイプ・コンヒュージョンの欠陥であり、ネットワーク経由での権限の昇格を、攻撃者に対して許す可能性がある。この脆弱性の CVSS スコアは 8.8 であり、High と評価されている。
Zoom Jenkins ボット・プラグインのユーザーは、バージョン 1.6 以降に更新する必要がある。また、Zoom Workplace App for Linux のユーザーは、バージョン 6.2.10 以降に更新する必要がある。その他の Zoom 製品のユーザーも、最新バージョンへと更新する必要がある。
すべてのユーザーに対して、Zoom が推奨するのは、一連のソフトウェアの最新バージョンへと、速やかにアップデートすることである。
Zoom Workplace App の脆弱性が FIX しました。Linux 版のタイプ・コンヒュージョンが、CVSS スコア 8.8 なので、気になりますね。ご利用のチームは、ご注意ください。よろしければ、Zoom で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.