Zoom Workplace Apps の脆弱性 CVE-2025-30663 などが FIX:深刻な権限昇格の恐れ

Zoom Workplace Apps Flaws Allow Hackers to Gain Elevated Access

2025/05/13 gbhackers — Zoom が公開したのは、Zoom Workplace アプリで新たに発見された、7件の脆弱性に対処する複数のセキュリティ情報であり、そのうち1件は深刻度が High と評価されるものだ。2025年5月13日に公開された、これらの脆弱性を悪用する攻撃者は、さまざまな攻撃ベクターを通じて権限昇格の可能性を得るという。最も注目すべきは、Time-of-check/Time-of-use (TOCTOU) の脆弱性であり、悪用されると深刻な権限昇格につながる可能性がある。

Zoom のセキュリティ情報 ZSB-25016 で公開された、最も深刻な脆弱性 CVE-2025-30663 は、Zoom Workplace アプリに影響を及ぼす、深刻度の高い Time-of-check/Time-of-use の欠陥である。

この脆弱性が引き起こす競合状態を悪用する攻撃者は、リソースがチェックされてからアプリにより使用されるまでの間で、リソースに対する操作を可能にする。

この時間的なギャップにより、任意のコード実行や、意図した範囲を超えた権限昇格などが、攻撃者に許される可能性がある。

その他にも、Zoom の Workplace Apps エコシステムにおいて、”特殊要素の不適切な無効化” に関する2件の脆弱性が確認された。

1件目の脆弱性 (ZSB-25022) は CVSS スコアの複雑性が低いと評価され、ユーザーの操作を必要とするネットワーク攻撃の可能性を示している。

2件目の脆弱性 (ZSB-25017) CVE-2025-30664 は、細工された入力がデータではなく、コマンドとして処理されること、インジェクション攻撃につながる可能性がある。

NULL ポインタ脆弱性

このセキュリティ情報では、Zoom Workplace Apps プラットフォーム全体にわたる、NULL ポインタ参照の脆弱性による、懸念すべき攻撃パターンが明らかになった。

この問題には、3件のセキュリティ情報 (ZSB-25020ZSB-25019ZSB-25018) が対処しており、ZSB-25018 は2種類の脆弱性 CVE-2025-30665/CVE-2025-30666 をカバーしている。

NULL ポインタ参照とは、NULL ポインタにより参照されるメモリの Read/Write を、ソフトウェアが試行する際に発生し、アプリケーション・クラッシュや予期しない動作を引き起こす可能性がある。

Zoom の Windows アプリケーションでは、細工された入力や予期しないアプリケーション状態により、それらの脆弱性が誘発される可能性がある。その結果として、サービス拒否攻撃やセキュリティ制御の回避などが、攻撃者に対して許される可能性がある。

ZSB-25021 で特定されたバッファ・オーバーリードの脆弱性 CVE-2025-46785 は、割り当てられたメモリの境界を超えてアプリケーションが読み取りを行うという、別のメモリ関連の欠陥である。それにより、隣接するメモリがアクセスされ、機密情報の漏洩やアプリの不安定などが発生する恐れがある。

推奨事項とセキュリティへの影響

Zoom セキュリティ・チームによる協調的なセキュリティ評価活動により、複数のセキュリティ情報が同時に公開されている。

同派のレポートによると、Zoom Workplace Apps を利用する組織にとって必要なことは、最新のセキュリティ・パッチを速やかに適用し、最もリスクの高い TOCTOU 脆弱性 CVE-2025-30663 を修正することだ。

速やかなパッチ適用が不可能な環境において、セキュリティ・チームにとって必要なことは、 Zoom アプリケーションやネットワーク・トラフィック・パターンの以上に対して、追加的な監視を実施することだ。

悪用による潜在的な影響を最小限に抑えるため、権限分離と最小権限の原則を厳格に適用する必要もある。

NULL ポインタ参照の脆弱性が多発しているのは、Zoom の入力検証およびメモリ管理プロセスに、潜在的かつ体系的な問題があるからだろう。

これらの脆弱性は、Medium レベルの深刻度と評価されているが、Zoom のコラボレーション・ツールに大きく依存している組織では、累積的な影響により、攻撃対象領域が大幅に拡大する。

リモート・ワーク/ハイブリッド・ワークの環境が、Zoom のようなコラボレーション・プラットフォームへの依存度を高めている。したがって、これらの脆弱性を悪用する攻撃者は、企業ネットワーク内に足掛かりを築くために、Zoom などの悪用を試行する。それらの攻撃を防ぐために、警戒を怠ることなく、セキュリティ対策を維持することが重要になる。

Zoom Workplace Apps の複数の脆弱性が FIX とのことです。ご利用のチームは、アップデートを忘れないよう、ご注意ください。なお、先月には、Zoom を悪用した攻撃が特定されており、2025/04/22 に「Zoom のリモート・コントロール機能を悪用:巧妙なソーシャル・エンジニアリングに要注意」という記事を投稿しています。よろしければ、Zoom で検索と併せて、ご参照ください。