Zoom Security Update – Patch for Multiple Vulnerabilities in Clients for Windows and macOS
2025/09/09 CyberSecurityNews — Zoom が公開したのは、Zoom Workplace for Windows/macOS クライアントに存在する、複数の脆弱性を修正するセキュリティ・アップデートである。今回のパッチは、深刻度の High 脆弱性1件と、複数の Medium レベルの問題に対応しており、ユーザーに対して強く推奨されるのは、速やかなアプリケーションの更新となる。
今回の更新で修正された最も深刻な欠陥 CVE-2025-49459 は、権限昇格の脆弱性であり、Zoom Workplace for Windows (ARM アーキテクチャ) に影響を及ぼす。この脆弱性を悪用する攻撃者が、許可されていない操作が可能となるため、アプリケーションのセキュリティが侵害されるおそれが生じる。
Windows/macOS クライアントにおける脆弱性
Medium の深刻度に分類される、複数の脆弱性も修正された。そのうちの2件は Zoom Workplace for Windows クライアントに影響する。
- CVE-2025-58135:不適切なアクションの強制の脆弱性。
- CVE-2025-58134:不正認証の脆弱性であり、許可されていないアクセス・レベルが取得される可能性がある
より広範な Zoom Workplace クライアントに影響する、以下の脆弱性も修正された。
- CVE-2025-49458:バッファ・オーバーフローの脆弱性であり、任意のコード実行に悪用される可能性がある
- CVE-2025-49460:引数インジェクションの脆弱性であり、悪意の引数の挿入により、攻撃者によるアプリケーション動作の操作を可能にする。
- CVE-2025-49461:クロスサイト・スクリプティング (XSS) の脆弱性であり、ユーザーが閲覧する Web ページに、悪意のスクリプトが挿入される可能性がある。
さらに、Zoom Workplace VDI Plugin macOS Universal installer for VMware Horizon では、競合状態の脆弱性 CVE-2025-58131 が修正された。この競合状態は、サービス拒否/権限昇格などの予期せぬ挙動を引き起こす可能性がある。
緩和策
Zoom がユーザーに対して推奨するのは、最新のセキュリティ修正と改善を受けた、ソフトウェアの最新バージョンへの更新である。
約1ヶ月前にも Zoom は、Windows クライアントの信頼できない検索パスの脆弱性 CVE-2025-49457 による、権限昇格の問題に対処している。この脆弱性は CVSS スコア 9.6 (Critical) と評価されており、ネットワーク経由の未認証の攻撃者に対して、昇格権限を許す可能性があるものだ。
なお、Critical ~ Medium 深刻度の欠陥が継続的に発見されていることから、個人/組織ユーザーにとって重要なことは、速やかにパッチ適用である。更新が遅れると、データ漏洩/サービス拒否攻撃/システム全体の侵害などの攻撃の恐れが生じる。
Zoom ソフトウェアの最新バージョンは、公式 Web サイトおよびアプリケーションの更新チャネルを通じて入手できる。
Zoom のクライアントに存在する、複数の脆弱性が修正されました。特に深刻なものは、Windows (ARM 版) での権限昇格の問題であり、攻撃者が許可されていない操作を許す可能性があります。また、不正認証やバッファ・オーバーフロー、引数インジェクション、XSS などの、不正アクセスや任意コード実行につながる欠陥も対処されました。ご利用のチームは、ご注意ください。よろしければ、Zoom で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.