Zoom Addresses Multi High-Severity Vulnerabilities in Workplace Apps and SDKs
2025/03/11 SecurityOnline — 先日に Zoom Communications, Inc. が公表したのは、各種の Zoom Workplace アプリと Zoom Meeting SDK に影響を及ぼす、複数の脆弱性に対処するセキュリティ・アドバイザリのリリースである。これらの脆弱性の深刻度は Medium 〜 High に分布しているが、認証済の低権限ユーザーによる権限昇格や、サービス拒否攻撃が引き起こされる可能性があるという。
1つ目の深刻な脆弱性 CVE-2025-27440 (CVSS:8.5) は、ヒープ・オーバーフローに起因する欠陥であり、認証済のリモート・ユーザーに対して、権限昇格を許すものだとされる。この脆弱性は、Windows/macOS/Linux のデスクトップ・アプリおよび、iOS/Android のモバイル・アプリなどの、各種の Zoom 製品に影響を及ぼす。
2つ目の深刻な脆弱性 CVE-2025-27439 (CVSS:8.5) は、バッファー・アンダーフローに起因し、権限昇格につながる可能性のあるという。上記のヒープ・オーバーフローの脆弱性と同様に、各種の Zoom Workplace アプリに影響を及ぼす。
3つ目の深刻な脆弱性 CVE-2025-0151 (CVSS:8.5) は、解放後メモリ使用の欠陥に起因し、ネットワーク・アクセスによる権限昇格の可能を生じる。この脆弱性も、上記の2つの脆弱性と同様に、広範囲にわたる Zoom 製品に影響を及ぼす。
その他の Medium レベルの脆弱性として、Zoom の誤った動作順序により引き起こされる、iOS のサービス拒否脆弱性 CVE-2025-0150 (CVSS:7.1) も対処された。
最後の欠陥は、データの信頼性に対する不十分な検証に起因する、脆弱性 CVE-2025-0149 (CVSS:6.5) である。その悪用に成功した、権限のないユーザーに対して、サービス拒否攻撃を許す可能性がある。この脆弱性は、各種の Zoom 製品に影響を及ぼす。
すでに Zoom は、アップデートをリリースし、これらの脆弱性に対処している。すべてのユーザーに対して強く推奨されるのは、最新のパッチを速やかに適用することだ。Zoom の公式 Web サイトから、影響を受ける製品の最新バージョンをダウンロードできる。
いまや、ビジネス・ワークフローにおいて、欠かすことのできないツールとなった Zoom です。それだけに、脆弱性に対しても敏感にならざるを得ません。速やかなアップデートを、ご検討ください。よろしければ、Zoom で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.