Zoom Clients for Windows Vulnerability Exposes Users to DoS Attacks
2025/07/08 CyberSecurityNews — Zoom for Windows クライアントで発見された、2件の脆弱性を悪用する攻撃者は、サービス拒否 (DoS) 攻撃を可能にすることが明らかになった。これらの脆弱性は、セキュリティ研究者 fre3dm4n により報告されており、それぞれが CVE-2025-49464/CVE-2025-46789 として追跡されている。どちらの脆弱性の深刻度も、CVSS スコア 6.5 (Medium) と評価されている。
脆弱性の性質
これらの脆弱性は、Zoom に存在する古典的なバッファ・オーバーフローに起因するものだ。この問題を悪用するネットワーク・アクセス権を持つ攻撃者は、Zoom クライアントのサービス可用性を阻害し、DoS 状態を引き起こせるという。
CVSS ベクターは、共に CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H であり、可用性への影響が High であることを示す一方で、機密性や完全性への影響は生じない。低権限での攻撃が可能であり、ユーザー操作も不要である。業務上の不可欠な通信手段として、Zoom を利用する組織にとって、サービス中断のリスクは重大である。
これらの脆弱性は、複数の Zoom for Windows に関連するものであり、それぞれの CVE が影響を及ぼすバージョンは、以下のとおりである。
- CVE-2025-49464:
- Zoom Workplace for Windows バージョン 6.4.0 未満
- Zoom Workplace VDI for Windows バージョン 6.3.10 未満(6.1.7/ 6.2.15 を除く)
- Zoom Rooms for Windows バージョン 6.4.0 未満
- Zoom Rooms Controller for Windows バージョン 6.4.0 未満
- Zoom Meeting SDK for Windows バージョン 6.4.0 未満
- CVE-2025-46789:
- Zoom Workplace for Windows バージョン 6.4.5 未満
- Zoom Workplace VDI for Windows バージョン 6.3.12 未満(6.2.15 を除く)
- Zoom Rooms for Windows バージョン 6.4.5 未満
- Zoom Rooms Controller for Windows バージョン 6.4.5 未満
- Zoom Meeting SDK for Windows バージョン 6.4.5 未満
すでに Zoom は、これらの脆弱性を認識し、修正済みバージョンを公開している。ユーザーに対して強く推奨されるのは、最新版への速やかなアップデートにより、システムの保護とサービスの可用性を確保することだ。そのためのアップデートは、Zoom の公式ポータルより入手できる。
最新の状態にソフトウェアを保つことは、組織や個人の通信を妨害しうる潜在的な攻撃から身を守るための、重要かつ基本的な対策である。
多くの組織にとって、リモートワークやオンライン会議は不可欠なものとなっている。そのような状況において、古典的とも言えるバッファ・オーバーフロー脆弱性が浮き彫りにするのは、広く使用される通信ツールの、セキュリティ確保における継続的な課題である。
この種の問題が、迅速に対処されない場合には、重大なリスクを引きずることになる。特に、大規模なチームや機密性の高い業務を担う Zoom ユーザーにとって、アップデート状況の監視と、セキュリティ・パッチの即時適用は不可欠なタスクである。
Zoom for Windows に見つかった脆弱性は、古典的なバッファ・オーバーフローに起因するものです。それを悪用する攻撃者は、Zoom クライアントの利用を妨げる、DoS 攻撃が可能になります。影響は限定的で深刻度は中程度とされていますが、Zoom を日常的に業務に使う組織では、サービス中断が大きな影響を及ぼすと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Zoom で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.