Trust Center Security, Privacy, Blogs Additional Resources

セキュリティ速報

すべての重大度
  • すべての重大度
  • 重大
すべての CVE
  • すべての CVE
  • CVE-2024-24691
  • CVE-2024-24690
  • CVE-2024-24699
  • CVE-2024-24698
  • CVE-2024-24697
  • CVE-2024-24696
  • CVE-2024-24695
  • CVE-2023-49647
  • CVE-2023-49646
  • CVE-2023-43586
  • CVE-2023-43585
  • CVE-2023-43583
  • CVE-2023-43582
  • CVE-2023-43591
  • CVE-2023-43590
  • CVE-2023-43588
  • CVE-2023-39199
  • CVE-2023-39206
  • CVE-2023-39205
  • CVE-2023-39204
  • CVE-2023-39203
  • CVE-2023-39202
  • CVE-2023-39201
  • CVE-2023-39208
  • CVE-2023-39215
  • CVE-2023-39209
  • CVE-2023-39214
  • CVE-2023-39213
  • CVE-2023-39212
  • CVE-2023-39211
  • CVE-2023-39210
  • CVE-2023-39218
  • CVE-2023-39217
  • CVE-2023-39216
  • CVE-2023-36535
  • CVE-2023-36534
  • CVE-2023-36533
  • CVE-2023-36532
  • CVE-2023-36541
  • CVE-2023-36540
  • CVE-2023-36538
  • CVE-2023-36537
  • CVE-2022-36928
  • CVE-2022-36926
    CVE-2022-36927
  • CVE-2022-36925
  • CVE-2022-36924
  • CVE-2022-28768
  • CVE-2022-28766
  • CVE-2022-28764
  • CVE-2022-28763
  • CVE-2022-28762
  • CVE-2022-28761
  • CVE-2022-28760
  • CVE-2022-28758
    CVE-2022-28759
  • CVE-2022-28757
  • CVE-2022-28756
  • CVE-2022-28751
  • CVE-2022-28753
    CVE-2022-28754
  • CVE-2022-28755
  • CVE-2022-28750
  • CVE-2022-28749
  • CVE-2022-22788
  • CVE-2022-22787
  • CVE-2022-22786
  • CVE-2022-22785
  • CVE-2022-22784
  • CVE-2022-22783
  • CVE-2022-22782
  • CVE-2022-22781
  • CVE-2022-22780
  • CVE-2022-22779
  • CVE-2021-34426
  • CVE-2021-34425
  • CVE-2021-34424
  • CVE-2021-34423
  • CVE-2021-34422
  • CVE-2021-34421
  • CVE-2021-34420
  • CVE-2021-34419
  • CVE-2021-34418
  • CVE-2021-34417
  • CVE-2021-34416
  • CVE-2021-34415
  • CVE-2021-34414
  • CVE-2021-34413
  • CVE-2021-34412
  • CVE-2021-34411
  • CVE-2021-34408
  • CVE-2021-33907
  • CVE-2021-30480
  • CVE-2021-28133
  • CVE-2020-9767
  • CVE-2020-11443
  • CVE-2019-13567
  • CVE-2019-13450
  • CVE-2019-13449
検索

セキュリティ速報

Zoom では、Zoom セキュリティ速報による通知に伴い、個人のお客様に脆弱性の影響に関するガイドを提供していません。また、脆弱性に関する追加の詳細情報も提供していません。 ユーザーの皆様には、最新バージョンの Zoom ソフトウェアに更新して、最新版の修正やセキュリティ改善をご利用いただくことを推奨しています。

ZSB 日付 タイトル 重大度 CVE(該当する場合)
ZSB-24008 02/13/2024 Windows 版 Zoom デスクトップ クライアント、Windows 版 Zoom VDI クライアント、Windows 版 Zoom Meeting SDK - 不適切な入力認証 重大 CVE-2024-24691

重大度: 重大

CVSS スコア: 9.6

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

説明: Windows 版 Zoom デスクトップ クライアント、Windows 版 Zoom VDI クライアント、Windows 版 Zoom Meeting SDK における不適切な入力認証により、認証されていないユーザーによるネットワーク アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、https://zoom.us/download から最新の更新プログラムを適用することで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.5 より前の Windows 版 Zoom デスクトップ クライアント
  • macOS 版 Zoom デスクトップ クライアント バージョン 5.15.0 のみ
  • Linux 版 Zoom デスクトップ クライアント バージョン 5.15.0 のみ
  • iOS 版 Zoom モバイルアプリ バージョン 5.15.0 のみ

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-24007 02/13/2024 Zoom クライアント - 不適切な入力認証 CVE-2024-24690

重大度: 中

CVSS スコア: 5.4

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

説明: 一部の Zoom クライアントにおける不適切な入力認証により、認証済みユーザーによるネットワーク アクセス経由でのサービスの拒否が可能になるおそれがあります。

ユーザーは、https://zoom.us/download から最新の更新プログラムを適用することで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.5 より前の Windows 版 Zoom クライアント SDK
  • バージョン 5.15.5 より前の iOS 版 Zoom クライアント SDK
  • バージョン 5.15.5 より前の Android 版 Zoom クライアント SDK
  • バージョン 5.15.5 より前の macOS 版 Zoom クライアント SDK
  • バージョン 5.15.5 より前の Linux 版 Zoom クライアント SDK

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-24006 02/13/2024 Zoom クライアント - ビジネス ロジックエラー CVE-2024-24699

重大度: 中

CVSS スコア: 6.5

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

説明: 一部の Zoom クライアントでのミーティング内チャットにおけるビジネス ロジックエラーにより、認証済みユーザーによるネットワーク アクセス経由での情報開示が可能になるおそれがあります。

ユーザーは、https://zoom.us/download から最新の更新プログラムを適用することで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.2 より前の Windows 版 Zoom デスクトップ クライアント
  • バージョン 5.15.2 より前の Zoom VDI クライアント
  • バージョン 5.12.6 より前の Windows 32 ビット版カンファレンス ルーム向け Zoom Rooms
  • バージョン 5.0.1 より前の Chrome OS 版 Zoom Client for Meetings
  • バージョン 5.8.3 より前の Zoom Rooms for Conference Room(Android、AndroidBali、macOS、Windows 向け)
  • バージョン 5.8.3 より前の Zoom Rooms コントローラ(Android、iOS、Windows 向け)
  • バージョン 5.8.4 より前の Windows VDI 版 Zoom Meeting クライアント
  • バージョン 5.8.4.2112 より前の Azure Virtual Desktop 用 Zoom VDI プラグイン(Windows x86 / x64、IGEL x64、Ubuntu x64、HP ThinPro OS x64 向け)

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-24005 02/13/2024 Zoom クライアント - 不適切な認証 CVE-2024-24698

重大度: 中

CVSS スコア: 4.9

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

説明: 一部の Zoom クライアントにおける不適切な認証により、特権を持つユーザーによるローカル アクセス経由での情報開示が可能になるおそれがあります。

ユーザーは、https://zoom.us/download から最新の更新プログラムを適用することで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.5 より前の Windows 版 Zoom Rooms
  • バージョン 5.12.6 より前の Windows VDI 版 Zoom Meeting クライアント
  • バージョン 5.12.6 より前のカンファレンス ルーム向け Zoom Rooms(Android、iOS、Linux、macOS、Windows 版)
  • バージョン 5.7.3 より前のすべての macOS 版 Zoom Client for Meetings
  • バージョン 5.6.3 より前のすべての Windows 版 Zoom Client for Meetings
  • バージョン 5.8.3 より前の Zoom Rooms コントローラ(Android、iOS、Windows 向け)
  • バージョン 5.8.4 より前の Windows VDI 版 Zoom Meeting クライアント
  • バージョン 5.8.4.2112 より前の Azure Virtual Desktop 用 Zoom VDI プラグイン(Windows x86 / x64、IGEL x64、Ubuntu x64、HP ThinPro OS x64 向け)

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-24004 02/13/2024 Zoom クライアント - 信頼性のない検索パス CVE-2024-24697

重大度: 高

CVSS スコア: 7.2

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

説明: 一部の Windows(32 ビット)版 Zoom クライアントにおける信頼性のない検索パスにより、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、https://zoom.us/download から最新の更新プログラムを適用することで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.17.0 より前の Windows 版 Zoom デスクトップ クライアント
  • バージョン 5.15.5 より前の Windows 版 Zoom Rooms
  • バージョン 5.14.0 より前の Windows VDI 版 Zoom Meeting クライアント
  • バージョン 5.0.1 より前の Chrome OS 版 Zoom Client for Meetings

情報元: 報告: sim0nsecurity

ZSB-24003 02/13/2024 Windows 版 Zoom デスクトップ クライアント、Windows 版 Zoom VDI クライアント、Windows 版 Zoom Meeting SDK - 不適切な入力認証 CVE-2024-24696

重大度: 中

CVSS スコア: 6.8

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

説明: Windows 版 Zoom デスクトップ クライアント、Windows 版 Zoom VDI クライアント、Windows 版 Zoom Meeting SDK でのミーティング内チャットにおける不適切な入力認証により、認証済みユーザーによるネットワーク アクセス経由での情報開示が可能になるおそれがあります。

ユーザーは、https://zoom.us/download から最新の更新プログラムを適用することで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.0 より前の Windows 版 Zoom クライアント SDK
  • バージョン 5.14.0 より前の Windows 版 Zoom Rooms クライアント
  • バージョン 5.14.0 より前の Windows VDI 版 Zoom Meeting クライアント

情報元: 報告: shmoul 氏

ZSB-24002 02/13/2024 Windows 版 Zoom デスクトップ クライアント、Windows 版 Zoom VDI クライアント、Windows 版 Zoom Meeting SDK - 不適切な入力認証 CVE-2024-24695

重大度: 中

CVSS スコア: 6.8

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

説明: Windows 版 Zoom デスクトップ クライアント、Windows 版 Zoom VDI クライアント、Windows 版 Zoom Meeting SDK における不適切な入力認証により、認証済みユーザーによるネットワーク アクセス経由での情報開示が可能になるおそれがあります。


ユーザーは、https://zoom.us/download から最新の更新プログラムを適用することで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.17.0 より前の Windows 版 Zoom デスクトップ クライアント
  • バージョン 5.14.10 より前の macOS 版 Zoom デスクトップ クライアント
  • バージョン 5.14.10 より前の Linux 版 Zoom デスクトップ クライアント

情報元: 報告: shmoul 氏

ZSB-24001 01/09/2024 Windows 版 Zoom デスクトップ クライアント、Windows 版 Zoom VDI クライアント、Windows 版 Zoom SDK - 不適切なアクセス コントロール 重大 CVE-2023-49647

重大度: 重大

CVSS スコア: 8.8

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

説明: バージョン 5.16.10 より前の Windows 版 Zoom デスクトップ クライアント、Windows 版 Zoom VDI クライアント、Windows 版 Zoom SDK における不適切なアクセス コントロールにより、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.16.10 より前の Windows 版 Zoom デスクトップ クライアント
  • バージョン 5.14.10 より前の iOS 版 Zoom クライアント SDK
  • バージョン 5.14.10 より前の Android 版 Zoom クライアント SDK
  • バージョン 5.14.10 より前の macOS 版 Zoom クライアント SDK

情報元: 報告: sim0nsecurity

ZSB-23062 12/12/2023 Zoom クライアント - 不適切な認証 重大 CVE-2023-49646

重大度: 重大

CVSS スコア: 5.4

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

説明: バージョン 5.16.5 より前の一部の Zoom クライアントにおける不適切な認証により、認証済みユーザーによるネットワーク アクセス経由でのサービスの拒否が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23059 12/12/2023 Windows 版 Zoom デスクトップ クライアント、Windows 版 Zoom VDI クライアント、Windows 版 Zoom SDK - パス トラバーサル 重大 CVE-2023-43586

重大度: 重大

CVSS スコア: 7.3

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N

説明: Windows 版 Zoom デスクトップ クライアント、Windows 版 Zoom VDI クライアント、Windows 版 Zoom SDK におけるパス トラバーサルにより、認証済みユーザーによるネットワーク アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.16.5 より前の Windows 版 Zoom デスクトップ クライアント
  • バージョン 5.14.10 より前の macOS 版 Zoom デスクトップ クライアント
  • バージョン 5.14.10 より前の Linux 版 Zoom デスクトップ クライアント
  • バージョン 5.14.10 より前の Zoom VDI ホストおよびプラグイン

情報元: 報告: shmoul 氏

ZSB-23058 12/12/2023 iOS 版 Zoom モバイルアプリと iOS 版 SDK - 不適切なアクセス コントロール 重大 CVE-2023-43585

重大度: 重大

CVSS スコア: 7.1

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

説明: バージョン 5.16.5 より前の iOS 版 Zoom モバイルアプリと iOS 版 Zoom SDK における不適切なアクセス コントロールにより、認証済みユーザーによるネットワーク アクセス経由での情報開示が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.16.5 より前の iOS 版 Zoom モバイルアプリ
  • バージョン 5.11.6 以前の macOS 版カンファレンス ルーム向け Zoom Rooms
  • バージョン 3.8.42.20200905 より前の Zoom オンプレミス レコーディング コネクタ
  • バージョン 4.4.6344.20200612 より前の Zoom オンプレミス バーチャル ルームコネクタ

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23056 12/12/2023 Android 版 Zoom モバイルアプリ、iOS 版 Zoom モバイルアプリ、Zoom SDK - 暗号化の問題 重大 CVE-2023-43583

重大度: 重大

CVSS スコア: 4.9

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

説明: バージョン 5.16.0 より前の Android 版 Zoom モバイルアプリ、iOS 版 Zoom モバイルアプリ、Android / iOS 版 Zoom SDK における暗号化の問題により、特権を持つユーザーによるネットワーク アクセス経由での情報開示が可能になるおそれがあります

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.16.0 より前の Android 版 Zoom モバイルアプリ
  • バージョン 5.14.7 より前の iOS 版 Zoom クライアント SDK
  • バージョン 5.14.7 より前の Android 版 Zoom クライアント SDK
  • バージョン 5.14.7 より前の macOS 版 Zoom クライアント SDK
  • バージョン 5.14.7 より前の Linux 版 Zoom クライアント SDK
  • バージョン 5.8.3 より前の Zoom Rooms Controller(Android、iOS、Windows 向け)

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23055 11/14/2023 Zoom クライアント - 不適切な承認 重大 CVE-2023-43582

重大度: 重大

CVSS スコア: 5.5

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L

説明: 一部 Zoom クライアントにおける不適切な承認により、承認済みユーザーによるネットワーク アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.16.0 より前の Windows 版 Zoom デスクトップ クライアント
  • バージョン 5.14.5 より前の macOS 版 Zoom デスクトップ クライアント
  • バージョン 5.14.5 より前の Linux 版 Zoom デスクトップ クライアント
  • バージョン 5.14.5 より前の Zoom VDI ホストおよびプラグイン
  • バージョン 5.14.5 より前の Android 版 Zoom モバイルアプリ
  • バージョン 5.14.5 より前の iOS 版 Zoom モバイルアプリ
  • バージョン 5.14.5 より前の iPad 版 Zoom Rooms
  • バージョン 5.14.5 より前の Android 版 Zoom Rooms
  • バージョン 5.14.5 より前の Windows 版 Zoom Rooms
  • バージョン 5.14.5 より前の macOS 版 Zoom Rooms
  • バージョン 5.7.6.1922 より前の Android 版 Zoom Meeting SDK
  • バージョン 5.7.6.1082 より前の iOS 版 Zoom Meeting SDK
  • バージョン 5.7.6.1340 より前の macOS 版 Zoom Meeting SDK
  • バージョン 5.7.6.1081 より前の Windows 版 Zoom Meeting SDK
  • バージョン 1.1.2 より前の Zoom Video SDK(Android、iOS、macOS、Windows 向け)

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23054 11/14/2023 macOS 版 Zoom Rooms - 不適切な特権管理 重大 CVE-2023-43591

重大度: 重大

CVSS スコア: 7.8

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

説明: バージョン 5.16.0 より前の macOS 版 Zoom Rooms における不適切な特権管理により、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.16.0 より前の macOS 版 Zoom Rooms

情報元: 報告: Eugene Lim 氏(spaceraccoon)

ZSB-23053 11/14/2023 macOS 版 Zoom Rooms - フォローリンク 重大 CVE-2023-43590

重大度: 重大

CVSS スコア: 7.8

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

説明: バージョン 5.16.0 より前の macOS 版 Zoom Rooms におけるフォローリンクにより、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.16.0 より前の macOS 版 Zoom Rooms

情報元: 報告: Eugene Lim 氏(spaceraccoon)

ZSB-23052 11/14/2023 Zoom クライアント - 不十分なコントロール フロー管理 重大 CVE-2023-43588

重大度: 重大

CVSS スコア: 3.5

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N

説明: 一部の Zoom クライアントにおける不十分なコントロール フロー管理により、認証済みユーザーによるネットワーク アクセス経由での情報開示が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23051 11/14/2023 Zoom クライアント - 暗号化の問題 重大 CVE-2023-39199

重大度: 重大

CVSS スコア: 4.9

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

説明: 一部の Zoom クライアントでのミーティング内チャットにおける暗号化の問題により、特権を持つユーザーによるネットワーク アクセス経由での情報開示が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.16.0 より前の Windows 版 Zoom デスクトップ クライアント
  • バージョン 5.13.3 より前の Windows 版 Zoom Rooms クライアント
  • バージョン 5.13.1 より前の Windows VDI 版 Zoom クライアント
  • バージョン 5.9.6 以前のすべての Zoom VDI Windows Meeting Clients

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23050 11/14/2023 Zoom クライアント - バッファ オーバーフロー 重大 CVE-2023-39206

重大度: 重大

CVSS スコア: 3.7

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

説明: 一部の Zoom クライアントにおけるバッファ オーバーフローにより、認証されていないユーザーによるネットワーク アクセス経由でのサービスの拒否が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23049 11/14/2023 Zoom クライアント - 不適切な条件チェック 重大 CVE-2023-39205

重大度: 重大

CVSS スコア: 4.3

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

説明: Zoom クライアントでの Zoom Team Chat における不適切な条件チェックにより、認証済みユーザーによるネットワーク アクセス経由でのサービスの拒否が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.16.0 より前の Windows 版 Zoom デスクトップ クライアント
  • バージョン 5.10.0 以前の Windows 版 カンファレンスルームのすべての Zoom Rooms
  • バージョン 5.10.3 以前の Windows 版 Microsoft Outlook のすべての Zoom プラグイン
  • バージョン 5.9.6 以前のすべての Zoom VDI Windows Meeting Clients
  • バージョン 5.6.3 より前のすべての Windows 版 Zoom Client for Meetings

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23048 11/14/2023 Zoom クライアント - バッファ オーバーフロー 重大 CVE-2023-39204

重大度: 重大

CVSS スコア: 4.3

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

説明: 一部の Zoom クライアントにおけるバッファ オーバーフローにより、認証されていないユーザーによるネットワーク アクセス経由でのサービスの拒否が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23047 11/14/2023 Windows 版 Zoom デスクトップ クライアントおよび Zoom VDI クライアント - リソースの枯渇 重大 CVE-2023-39203

重大度: 重大

CVSS スコア: 4.3

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

説明: Windows 版 Zoom デスクトップ クライアントおよび Zoom VDI クライアントでの Zoom Team Chat におけるリソースの枯渇により、認証されていないユーザーによるネットワーク アクセス経由での情報開示が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.16.0 より前の Windows 版 Zoom デスクトップ クライアント
  • バージョン 5.13.5 より前の Zoom Rooms クライアント(Linux、macOS、Windows)

情報元: 報告: shmoul 氏

ZSB-23046 11/14/2023 Windows 版 Zoom Rooms クライアントおよび Zoom VDI クライアント - 信頼性のない検索パス 重大 CVE-2023-39202

重大度: 重大

CVSS スコア: 3.1

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:L

説明: Windows 版 Zoom Rooms クライアントおよび Zoom VDI クライアントにおける信頼性のない検索パスにより、特権を持つユーザーによるローカル アクセス経由でのサービスの拒否が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.16.0 より前の Windows 版 Zoom Rooms クライアント
  • バージョン 4.6.360.20210325 より前の Zoom オンプレミス ミーティング コネクタ MMR

情報元: 報告: sim0nsecurity

ZSB-23045 09/12/2023 CleanZoom - 信頼性のない検索パス 重大 CVE-2023-39201

重大度: 重大

CVSS スコア: 7.2

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

説明: 2023 年 7 月 24 日より前に実行された CleanZoom における信頼性のない検索パスにより、特権を持つユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • 2023 年 7 月 24 日より前に実行された CleanZoom

情報元: 報告: sim0nsecurity

ZSB-23043 09/12/2023 Linux 版 Zoom デスクトップ クライアント - 不適切な入力認証 重大 CVE-2023-39208

重大度: 重大

CVSS スコア: 6.5

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L

説明: バージョン 5.15.10 より前の Linux 版 Zoom デスクトップ クライアントにおける不適切な入力認証により、認証されていないユーザーによるネットワーク アクセス経由でのサービスの拒否が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.10 より前の Linux 版 Zoom デスクトップ クライアント

情報元: 報告: Antoine Roly 氏(aroly)

ZSB-23040 09/12/2023 Zoom クライアント - 不適切な認証 重大 CVE-2023-39215

重大度: 重大

CVSS スコア: 7.1

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:H

説明: Zoom クライアントにおける不適切な認証により、認証済みユーザーによるネットワーク アクセス経由でのサービスの拒否が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.5 より前の Windows 版 Zoom デスクトップ クライアント
  • バージョン 5.14.10 より前の Zoom for macOS
  • バージョン 5.13.1 より前の Windows VDI 版 Zoom クライアント
  • バージョン 5.0.1 より前の Chrome OS 版 Zoom Client for Meetings
  • バージョン 5.8.3 より前の Zoom Rooms for Conference Room(Android、AndroidBali、macOS、Windows 向け)
  • バージョン 5.8.3 より前の Zoom Rooms Controller(Android、iOS、Windows 向け)
  • バージョン 5.8.4 より前の Windows VDI 版 Zoom Meeting クライアント
  • バージョン 5.8.4.21112 より前の Azure Virtual Desktop 用 Zoom VDI プラグイン(Windows x86 / x64、IGEL x64、Ubuntu x64、HP ThinPro OS x64 向け)

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23041 08/08/2023 Windows 版 Zoom デスクトップ クライアント - 不適切な入力認証 重大 CVE-2023-39209

重大度: 重大

CVSS スコア: 5.9

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

説明: バージョン 5.15.5 より前の Windows 版 Zoom デスクトップ クライアントにおける不適切な入力認証により、認証済みユーザーによるネットワーク アクセス経由での情報開示が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.5 より前の Windows 版 Zoom デスクトップ クライアント

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23039 08/08/2023 Zoom クライアント - 機密情報の漏えい 重大 CVE-2023-39214

重大度: 重大

CVSS スコア: 7.6

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H

説明: バージョン 5.15.5 より前の Zoom クライアントにおける機密情報の漏えいにより、認証済みユーザーによるネットワーク アクセス経由でのサービスの拒否が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.5 より前の Windows 版 Zoom デスクトップ クライアント
  • バージョン 5.12.6 より前の Windows VDI 版 Zoom Meeting クライアント
  • バージョン 5.12.6 より前のカンファレンス ルーム向け Zoom Rooms(Android、iOS、Linux、macOS、Windows 版)

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23038 08/08/2023 Windows 版 Zoom デスクトップ クライアントおよび Zoom VDI クライアント - 特殊要素の不適切な無効化 重大 CVE-2023-39213

重大度: 重大

CVSS スコア: 9.6

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

説明: Windows 版 Zoom デスクトップ クライアントおよび Zoom VDI クライアントにおける特殊要素の不適切な無効化により、認証されていないユーザーによるネットワーク アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.2 より前の Windows 版 Zoom デスクトップ クライアント
  • バージョン 5.14.0 より前の Windows 版 Zoom Rooms クライアント
  • バージョン 5.14.0 より前の Windows VDI 版 Zoom Meeting クライアント

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23037 08/08/2023 Windows 版 Zoom Rooms - 信頼性のない検索パス 重大 CVE-2023-39212

重大度: 重大

CVSS スコア: 7.9

CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

説明: バージョン 5.15.5 より前の Windows 版 Zoom Rooms における信頼性のない検索パスにより、認証済みユーザーによるローカル アクセス経由でのサービス拒否攻撃が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.5 より前の Windows 版 Zoom Rooms

情報元: 報告: sim0nsecurity

ZSB-23036 08/08/2023 Windows 版 Zoom デスクトップ クライアントおよび Windows 版 Zoom Rooms - 不適切な特権管理 重大 CVE-2023-39211

重大度: 重大

CVSS スコア: 8.8

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

説明: バージョン 5.15.5 より前の Windows 版 Zoom デスクトップ クライアントおよび Windows 版 Zoom Rooms における不適切な特権管理により、認証済みユーザーによるローカル アクセス経由での情報開示が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.5 より前の Windows 版 Zoom デスクトップ
  • バージョン 5.10.0 より前のすべての Windows 版カンファレンスルーム向け Zoom Rooms

情報元: 報告: sim0nsecurity

ZSB-23035 08/08/2023 Windows 版 Zoom クライアント SDK - 機密情報の平文保存 重大 CVE-2023-39210

重大度: 重大

CVSS スコア: 5.5

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

説明: バージョン 5.15.0 より前の Windows 版 Zoom クライアント SDK における機密情報の平文保存により、認証済みユーザーによるローカル アクセス経由での情報開示が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.0 より前の Windows 版 Zoom クライアント SDK

情報元: 報告: sim0nsecurity

ZSB-23034 08/08/2023 Zoom クライアント - サーバー側セキュリティのクライアント側での適用 重大 CVE-2023-39218

重大度: 重大

CVSS スコア: 6.5

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

説明: バージョン 5.14.10 より前の Zoom クライアントにおいて、サーバー側セキュリティがクライアント側で適用されることにより、特権付きユーザーによるネットワーク アクセス経由での情報開示が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.10 より前の Windows 版 Zoom デスクトップ クライアント
  • バージョン 4.6.365.20210703 より前の Zoom オンプレミス ミーティング コネクタ MMR
  • バージョン 3.8.45.20210703 より前の Zoom オンプレミス レコーディング コネクタ
  • バージョン 4.4.6868.20210703 より前の Zoom オンプレミス バーチャル ルームコネクタ
  • バージョン 2.5.5496.20210703 より前の Zoom オンプレミス バーチャル ルームコネクタ ロードバランサ

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23033 08/08/2023 Zoom クライアント - 不適切な入力認証 重大 CVE-2023-39217

重大度: 重大

CVSS スコア: 5.3

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

説明: バージョン 5.14.10 より前の Zoom クライアントにおける不適切な入力認証により、認証されていないユーザーによるネットワーク アクセス経由でのサービスの拒否が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.10 より前の Windows 版 Zoom デスクトップ クライアント
  • バージョン 5.12.6 より前の Windows 32 ビット VDI 版 Zoom Meeting クライアント
  • バージョン 5.12.6 より前の Windows 32 ビット版カンファレンス ルーム向け Zoom Rooms
  • バージョン 4.4.6752.20210326 より前の Zoom オンプレミス バーチャル ルームコネクタ
  • バージョン 2.5.5495.20210326 より前の Zoom オンプレミス バーチャル ルームコネクタ ロードバランサ
  • バージョン 3.3.1635.1130 以前の Chrome 版クライアント
  • バージョン 4.1.6(35121.1201)以前の Windows 版 Zoom Room クライアント
  • バージョン 4.1.7(35123.1201)以前の Mac 版 Zoom Room クライアント
  • バージョン 3.6.2895.1130 以前の Chrome 版 Zoom Room クライアント
  • バージョン 4.1.30384.1029 以前の Zoom の Windows SDK

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23032 08/08/2023 Windows 版 Zoom デスクトップ クライアント - 不適切な入力認証 重大 CVE-2023-39216

重大度: 重大

CVSS スコア: 9.6

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

説明: バージョン 5.14.7 より前の Windows 版 Zoom デスクトップ クライアントにおける不適切な入力認証により、認証されていないユーザーによるネットワーク アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.7 より前の Windows 版 Zoom デスクトップ クライアント

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23031 08/08/2023 Zoom クライアント - サーバー側セキュリティのクライアント側での適用 重大 CVE-2023-36535

重大度: 重大

CVSS スコア: 7.1

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

説明: バージョン 5.14.10 より前の Zoom クライアントにおいて、サーバー側セキュリティがクライアント側で適用されることにより、認証済みユーザーによるネットワーク アクセス経由での情報開示が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.10 より前の Windows 版 Zoom クライアント
  • バージョン 5.12.2 より前の Windows VDI 版 Zoom Meeting クライアント
  • バージョン 5.12.2 より前のカンファレンス ルーム向け Zoom Rooms(Android、iOS、Linux、macOS、Windows 版)
  • バージョン 4.4.6620.20201110 より前の Zoom オンプレミス バーチャル ルームコネクタ
  • バージョン 2.5.5495.20210326 より前の Zoom オンプレミス バーチャル ルームコネクタ ロードバランサ

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23030 08/08/2023 Windows 版 Zoom デスクトップ クライアント - パス トラバーサル 重大 CVE-2023-36534

重大度: 重大

CVSS スコア: 9.3

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H

説明: バージョン 5.14.7 より前の Windows 版 Zoom デスクトップ クライアントにおけるパス トラバーサルにより、認証されていないユーザーによるネットワーク アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.7 より前の Windows 版 Zoom デスクトップ クライアント

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23029 08/08/2023 Zoom SDK - 制御不能なリソースの消費 重大 CVE-2023-36533

重大度: 重大

CVSS スコア: 7.1

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

説明: バージョン 5.14.7 より前の Zoom SDK における制御不能なリソースの消費により、認証されていないユーザーによるネットワーク アクセス経由でのサービス拒否攻撃が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.7 より前の Windows 版 Zoom クライアント SDK
  • バージョン 5.10.7 以前の Windows VDI 版 Zoom Meeting クライアント
  • バージョン 5.11.0 より前のカンファレンス ルーム向け Zoom Rooms(Android、iOS、Linux、macOS、Windows 版)
  • バージョン 4.4.6868.20210703 より前の Zoom オンプレミス バーチャル ルームコネクタ
  • バージョン 2.5.5496.20210703 より前の Zoom オンプレミス バーチャル ルームコネクタ ロードバランサ

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23028 08/08/2023 Zoom クライアント - バッファ オーバーフロー 重大 CVE-2023-36532

重大度: 重大

CVSS スコア: 5.9

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

説明: バージョン 5.14.5 より前の Zoom クライアントにおけるバッファ オーバーフローにより、認証されていないユーザーによるネットワーク アクセス経由でのサービス拒否攻撃が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.5 より前の Windows 版 Zoom デスクトップ クライアント
  • バージョン 4.6.360.20210325 より前の Zoom オンプレミス ミーティング コネクタ MMR
  • バージョン 3.8.44.20210326 より前の Zoom オンプレミス レコーディング コネクタ
  • バージョン 4.4.6752.20210326 より前の Zoom オンプレミス バーチャル ルームコネクタ
  • バージョン 2.5.5495.20210326 より前の Zoom オンプレミス バーチャル ルームコネクタ ロードバランサ

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23027 08/08/2023 Windows 版 Zoom デスクトップ クライアント - データ信頼性の不十分な認証 重大 CVE-2023-36541

重大度: 重大

CVSS スコア: 8

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

説明: バージョン 5.14.5 より前の Windows 版 Zoom デスクトップ クライアントにおけるデータ信頼性の不十分な認証により、認証済みユーザーによるネットワーク アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.5 より前の Windows 版 Zoom デスクトップ クライアント

情報元: 報告: sim0nsecurity

ZSB-23026 08/08/2023 Windows 版 Zoom デスクトップ クライアント - 信頼性のない検索パス 重大 CVE-2023-36540

重大度: 重大

CVSS スコア: 7.3

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

説明: バージョン 5.14.5 より前の Windows 版 Zoom デスクトップ クライアント向けインストーラにおける信頼性のない検索パスにより、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.5 より前の Windows 版 Zoom デスクトップ クライアント

情報元: 報告: sim0nsecurity

ZSB-23024 07/11/2023 不適切なアクセス コントロール 重大 CVE-2023-36538

重大度: 重大

CVSS スコア: 8.4

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

説明: バージョン 5.15.0 より前の Windows 版 Zoom Rooms における不適切なアクセス コントロールにより、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.0 より前の Windows 版 Zoom Rooms

情報元: 報告: sim0nsecurity

ZSB-23023 07/11/2023 不適切な特権管理 重大 CVE-2023-36537

重大度: 重大

CVSS スコア: 7.3

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

説明: バージョン 5.14.5 より前の Windows 版 Zoom Rooms における不適切な特権管理により、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.12.7 より前の Windows 版 Zoom Rooms クライアント

情報元: 報告: sim0nsecurity

ZSB-22033 01/06/2023 Zoom for Android クライアントにおけるパス トラバーサル 重大 CVE-2022-36928

重大度: 重大

CVSS スコア: 6.1

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

説明: バージョン 5.13.0 より前の Zoom for Android クライアントにパス トラバーサルの脆弱性が含まれています。 サードパーティ アプリがこの脆弱性を利用して Zoom アプリケーションのデータ ディレクトリの読み取りと書き込みをする可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.13.0 より前の Zoom for Android クライアント

情報元: 報告: Dimitrios Valsamaras 氏(Microsoft)

ZSB-22032 01/06/2023 macOS 版 Zoom Rooms クライアントにおけるローカル特権昇格 重大 CVE-2022-36926
CVE-2022-36927

重大度: 重大

CVSS スコア: 8.8

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

説明: バージョン 5.11.3 より前の macOS 版 Zoom Rooms クライアントにローカル特権昇格の脆弱性が含まれています。 特権の少ないローカル ユーザーは、この脆弱性を利用して自身の特権をルートに昇格させる可能性があります。
ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.11.3 より前の macOS 版 Zoom Rooms クライアント

情報元: 報告: Kirin 氏(Pwnrin)

ZSB-22031 01/06/2023 macOS 版 Zoom Rooms クライアントにおけるセキュリティ保護されていないキーの生成 重大 CVE-2022-36925

重大度: 重大

CVSS スコア: 4.4

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

説明: バージョン 5.11.4 より前の macOS 版 Zoom Rooms クライアントにセキュリティ保護されていないキー生成のメカニズムが含まれています。 Zoom Rooms デーモン サービスと Zoom Rooms クライアント間の IPC に使用される暗号化キーが、特権の少ないローカル アプリケーションによって取得された可能性のあるパラメータを使用して生成されました。 その後このキーを使用してデーモン サービスと対話し、特権関数を実行してローカルのサービス拒否を引き起こす可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.11.4 より前の macOS 版 Zoom Rooms

情報元: 報告: Kirin 氏(Pwnrin)

ZSB-22030 11/15/2022 Windows 版 Zoom Rooms インストーラにおけるローカル特権昇格 重大 CVE-2022-36924

重大度: 重大

CVSS スコア: 8.8

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

説明: バージョン 5.12.6 より前の Windows 版 Zoom Rooms インストーラには、ローカル特権昇格の脆弱性が含まれています。 特権の少ないローカル ユーザーは、インストール プロセスでこの脆弱性を利用して自身の特権をシステム ユーザーに昇格させる可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.12.6 より前の Windows 版 Zoom Rooms インストーラ

情報元: 報告: sim0nsecurity

ZSB-22029 11/15/2022 macOS 版 Zoom クライアント インストーラにおけるローカル特権昇格 重大 CVE-2022-28768

重大度: 重大

CVSS スコア: 8.8

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

説明: バージョン 5.12.6 より前の macOS 版 Zoom Client for Meetings インストーラ(標準ユーザーおよび IT 管理者向け)にローカル特権昇格の脆弱性が含まれています。 特権の少ないローカル ユーザーは、インストール プロセスでこの脆弱性を利用して自身の特権をルートに昇格させる可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.12.6 より前の macOS 版 Zoom Client for Meetings インストーラ(標準ユーザーおよび IT 管理者向け)

情報元: 報告: Koh M. Nakagawa 氏(tsunekoh)

ZSB-22027 11/15/2022 Windows 版 Zoom クライアントにおける DLL インジェクション 重大 CVE-2022-28766

重大度: 重大

CVSS スコア: 8.1

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L

説明: バージョン 5.12.6 より前の Windows 32 ビット版 Zoom Client for Meetings およびカンファレンス ルーム向け Zoom Rooms は、DLL インジェクションの脆弱性の影響を受けやすくなります。 特権の少ないローカル ユーザーは、この脆弱性を利用して Zoom クライアントのコンテキストで任意のコードを実行する可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.12.6 より前の Windows 32 ビット版 Zoom Client for Meetings
  • バージョン 5.12.6 より前の Windows 32 ビット VDI 版 Zoom Meeting クライアント
  • バージョン 5.12.6 より前の Windows 32 ビット版カンファレンス ルーム向け Zoom Rooms

情報元: 報告: sim0nsecurity

ZSB-22025 11/10/2022 Zoom クライアントにおけるローカル情報の漏えい 重大 CVE-2022-28764

重大度: 重大

CVSS スコア: 3.3

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

説明: バージョン 5.12.6 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)は、ローカル情報の漏えいに関する脆弱性の影響を受けやすくなります。

ミーティング終了後にローカル SQL データベースからのデータ消去に失敗し、そのデータベースを暗号化する安全性の低いデバイスごとの鍵を使用すると、悪意のあるローカル ユーザーが、そのローカル ユーザー アカウントから、以前に出席したミーティングのミーティング内チャットなどのミーティング情報を取得できるようになります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.12.6 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)
  • バージョン 5.12.6 より前の Windows VDI 版 Zoom Meeting クライアント
  • バージョン 5.12.6 より前のカンファレンス ルーム向け Zoom Rooms(Android、iOS、Linux、macOS、Windows 版)

情報元: 報告: SySS GmbH 社、Christian Zäske 氏

ZSB-22024 10/24/2022 Zoom デスクトップ クライアント / Zoom モバイルアプリでの不適切な URL 解析 重大 CVE-2022-28763

重大度: 重大

CVSS スコア: 8.8

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

説明: バージョン 5.12.2 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)は、URL 解析の脆弱性の影響を受けやすくなります。 悪意のある Zoom ミーティングの URL が開かれると、ユーザーは悪意のあるリンクによって任意のネットワーク アドレスに接続するよう誘導され、その結果セッションの乗っ取りなど、さらなる攻撃につながる可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.12.2 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)
  • バージョン 5.12.2 より前の Windows VDI 版 Zoom Meeting クライアント
  • バージョン 5.12.2 より前のカンファレンス ルーム向け Zoom Rooms(Android、iOS、Linux、macOS、Windows 版)

情報元: 報告: Zoom セキュリティ チーム

ZSB-22023 10/11/2022 macOS 版 Zoom Client for Meetings の Zoom Apps におけるデバッグポートの設定ミス 重大 CVE-2022-28762

重大度: 重大

CVSS スコア: 7.3

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

説明: バージョン 5.10.6 以降バージョン 5.12.0 より前の macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)には、デバッグポートの設定ミスが含まれています。 特定の Zoom Apps を実行して、カメラモードのレンダリング コンテキストが Zoom アプリの Layers API の一部として有効になると、Zoom クライアントによってローカルのデバッグポートが開かれます。 悪意のあるローカル ユーザーがこのデバッグポートを使用して Zoom クライアントで実行している Zoom Apps に接続し、制御する可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.10.6 以降バージョン 5.12.0 より前の macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)

情報元: 報告: Zoom セキュリティ チーム

ZSB-22022 10/11/2022 Zoom オンプレミス導入: 不適切なアクセスの制御 重大 CVE-2022-28761

重大度: 重大

CVSS スコア: 6.5

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

説明: バージョン 4.8.20220916.131 より前の Zoom オンプレミス ミーティング コネクタ MMR には、不適切なアクセス コントロールの脆弱性が含まれています。 その結果、悪意のあるアクターは、参加を承認されているミーティングまたはウェビナーで、参加者がオーディオやビデオを受信しないようにして、ミーティングの中断を引き起こす可能性があります。

Zoom オンプレミス導入では、IT 管理者は「Updating a virtual appliance(英語)」(https://support.zoom.us/hc/en-us/articles/360043960031)に記載された方法に従うことで、Zoom ソフトウェアを最新の状態に保つことができます。

影響を受けるプロダクト:

  • バージョン 4.8.20220916.131 以前の Zoom オンプレミス ミーティング コネクタ MMR

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-22021 09/13/2022 Zoom オンプレミス導入: 不適切なアクセスの制御 重大 CVE-2022-28760

重大度: 重大

CVSS スコア: 6.5

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

説明: バージョン 4.8.20220815.130 以前の Zoom オンプレミス ミーティング コネクタ MMR には、不適切なアクセスの制御に脆弱性が存在します。 その結果、悪意のあるアクターが他の参加者に見られることなく、参加が承認されているミーティングに参加する可能性があります。

Zoom オンプレミス導入では、IT 管理者は「Updating a virtual appliance(英語)」(https://support.zoom.us/hc/en-us/articles/360043960031)に記載された方法に従うことで、Zoom ソフトウェアを最新の状態に保つことができます。

影響を受けるプロダクト:

  • バージョン 4.8.20220815.130 以前の Zoom オンプレミス ミーティング コネクタ MMR

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-22020 09/13/2022 Zoom オンプレミス導入: 不適切なアクセスの制御 重大 CVE-2022-28758
CVE-2022-28759

重大度: 重大

CVSS スコア: 8.2

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

説明: バージョン 4.8.20220815.130 以前の Zoom オンプレミス ミーティング コネクタ MMR には、不適切なアクセスの制御に脆弱性が存在します。 その結果、悪意のあるアクターが、参加を承認されていないミーティングのオーディオやビデオのフィードを取得し、他のミーティングを中断させる可能性があります。

Zoom オンプレミス導入では、IT 管理者は「Updating a virtual appliance(英語)」(https://support.zoom.us/hc/en-us/articles/360043960031)に記載された方法に従うことで、Zoom ソフトウェアを最新の状態に保つことができます。

影響を受けるプロダクト:

  • バージョン 4.8.20220815.130 以前の Zoom オンプレミス ミーティング コネクタ MMR

情報元: 報告: Zoom セキュリティ チーム

ZSB-22019 08/17/2022 macOS 版 Zoom Client for Meetings における自動アップデータのローカル特権昇格 重大 CVE-2022-28757

重大度: 重大

CVSS スコア: 8.8

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

説明: バージョン 5.7.3 から 5.11.6 より前のすべての macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)には、自動更新プロセスにおける脆弱性が含まれています。 特権の少ないローカル ユーザーは、この脆弱性を利用して自身の特権をルートに昇格させる可能性があります。

注: この問題により、5.11.5 で発行された CVE-2022-28756 に対処するためのパッチのバイパスが可能になります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.7.3 以降バージョン 5.11.6 以前の macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)

情報元: 報告: Csaba Fitzl(theevilbit)(攻撃セキュリティ)

ZSB-22018 08/13/2022 macOS 版 Zoom プロダクトにおける自動アップデータのローカル特権昇格 [Updated 2022-09-13] 重大 CVE-2022-28756

重大度: 重大

CVSS スコア: 8.8

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

説明: バージョン 5.7.3 から 5.11.5 より前のすべての macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)と、バージョン 5.11.6 より前の macOS 版カンファレンス ルーム向け Zoom Rooms には、自動更新プロセスにおける脆弱性が含まれています。 特権の少ないローカル ユーザーは、この脆弱性を利用して自身の特権をルートに昇格させる可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

* 変更 - 2022 年 9 月 13 日 - タイトルと説明を更新、「影響を受ける製品」セクションに Zoom Rooms を追加。

影響を受けるプロダクト:

  • バージョン 5.7.3 以降バージョン 5.11.5 以前の macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)
  • バージョン 5.11.6 以前の macOS 版カンファレンス ルーム向け Zoom Rooms

情報元: Objective-See の Patrick Wardle 氏による報告

ZSB-22017 08/09/2022 macOS 版 Zoom Client for Meetings におけるローカル特権昇格 重大 CVE-2022-28751

重大度: 重大

CVSS スコア: 8.8

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

説明: バージョン 5.11.3 以前の macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)には、更新プロセス中のパッケージの署名検証に脆弱性が存在します。 特権の少ないローカル ユーザーは、この脆弱性を利用して自身の特権をルートに昇格させる可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.11.3 以前の macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)

情報元: Objective-See の Patrick Wardle 氏による報告

ZSB-22014 08/09/2022 Zoom オンプレミス導入: 不適切なアクセスの制御 重大 CVE-2022-28753
CVE-2022-28754

重大度: 重大

CVSS スコア: 7.1

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

説明: バージョン 4.8.129.20220714 以前の Zoom オンプレミス ミーティング コネクタ MMR には、不適切なアクセスの制御に脆弱性が存在します。 その結果、悪意のあるアクターは、他の参加者に見られることなく参加が承認されているミーティングに参加したり、待機室からミーティングへの入室を自分自身で許可したり、ホストになって他のミーティングの中断を引き起こしたりする可能性があります。

Zoom オンプレミス導入では、IT 管理者は「Updating a virtual appliance(英語)」(https://support.zoom.us/hc/en-us/articles/360043960031)に記載された方法に従うことで、Zoom ソフトウェアを最新の状態に保つことができます。

影響を受けるプロダクト:

  • バージョン 4.8.129.20220714 以前の Zoom オンプレミス ミーティング コネクタ MMR

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-22016 08/09/2022 Zoom デスクトップ クライアント / Zoom モバイルアプリでの不適切な URL 解析 [Updated 2022-10-24] 重大 CVE-2022-28755

重大度: 重大

CVSS スコア: 9.6

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

説明: バージョン 5.11.0 以前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)は、URL 解析の脆弱性の影響を受けやすくなります。 悪意のある Zoom ミーティングの URL が開かれると、ユーザーは悪意のあるリンクによって任意のネットワーク アドレスに接続するよう誘導され、その結果任意のパスから実行可能ファイルが起動されてリモートコードが実行される可能性があるなど、さらなる攻撃につながる可能性があります。

*変更 - 2022年10月24日 - 「影響を受けるプロダクト」セクションに Zoom Rooms を追加。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.11.0 以前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-22012 08/09/2022 Zoom オンプレミス導入: ミーティング コネクタにおけるスタック バッファ オーバーフロー 重大 CVE-2022-28750

重大度: 重大

CVSS スコア: 7.5

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

説明: バージョン 4.8.20220419.112 より前の Zoom オンプレミス ミーティング コネクタ ゾーン コントローラ(ZC)では、STUN エラーコードが正しく解析されないため、メモリが破損する可能性があり、悪意のあるアクターがアプリケーションをクラッシュさせる可能性があります。 4.8.12.20211115 以前のバージョンでは、この脆弱性を利用して任意のコードが実行される可能性もあります。

Zoom オンプレミス導入では、IT 管理者は「Updating a virtual appliance(英語)」(https://support.zoom.us/hc/en-us/articles/360043960031)に記載された指示に従うことで、Zoom ソフトウェアを最新の状態に保つことができます。

影響を受けるプロダクト:

  • バージョン 4.8.20220419.112 以前の Zoom オンプレミス ミーティング コネクタ ゾーン コントローラ(ZC)

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-22011 06/14/2022 ミーティング参加期間における不十分な認証チェック 重大 CVE-2022-28749

重大度: 重大

CVSS スコア: 6.5

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

説明: バージョン 4.8.113.20220526 より前の Zoom オンプレミス ミーティング コネクタ MMR では、Zoom でのミーティング出席者の権限を適切にチェックできません。 その結果、Zoom の待合室内に潜む脅威のアクターは、ホストの同意なしでミーティングに参加できます。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 4.8.113.20220526 より前のオンプレミス ミーティング コネクタ

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-22010 06/14/2022 Zoom / Zoom Rooms クライアント向け Zoom オープナー インストーラにおける DLL インジェクション 重大 CVE-2022-22788

重大度: 重大

CVSS スコア: 7.1

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

説明: Zoom Meeting クライアントをインストールせずにミーティングに参加しようとすると、ユーザーにより Zoom オープナー インストーラが [ミーティングの起動] ページからダウンロードされます。 バージョン 5.10.3 より前の Zoom Client for Meetings 向け Zoom オープナー インストーラと、バージョン 5.10.3 より前の Windows 版カンファレンス ルーム向け Zoom Rooms は、DLL インジェクション攻撃の影響を受けやすくなります。 この脆弱性は、被害者のホストマシン上で任意のコード実行に利用されるおそれがあります。

ユーザーは、以前のバージョンの Zoom オープナー インストーラを削除し、[ミーティングの起動] ページの [今すぐダウンロード] ボタンから最新バージョンの Zoom オープナー インストーラを実行することで、セキュリティを確保できます。 また、https://zoom.us/download から、すべての最新のセキュリティ更新が適用された最新版 Zoom ソフトウェアをダウンロードすることでも、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.10.3 より前の Windows 版 Zoom Client for Meetings
  • バージョン 5.10.3 より前のすべての Windows 版カンファレンス ルーム向け Zoom Rooms

情報元: 報告: James Tsz Ko Yeung 氏

ZSB-22009 05/17/2022 Zoom Client for Meetings でのサーバー切り替え時のホスト名の検証が不十分 重大 CVE-2022-22787

重大度: 重大

CVSS スコア: 5.9

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

説明: バージョン 5.10.0 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)は、サーバー切り替えリクエスト時にホスト名を正しく検証できません。 この問題は、Zoom サービスを使用しようとしたときに、疑いを持たないユーザーのクライアントをだまして、悪意のあるサーバーに接続させるための、より高度な攻撃で利用される可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.10.0 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)

情報元: 報告: Google Project Zero の Ivan Fratric 氏

ZSB-22008 05/17/2022 Windows 版 Zoom Client for Meetings の更新パッケージのダウングレード 重大 CVE-2022-22786

重大度: 重大

CVSS スコア: 7.5

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

説明: バージョン 5.10.0 より前の Windows 版 Zoom Client for Meetings およびバージョン 5.10.0 より前の Windows 版カンファレンス ルーム向け Zoom Rooms は、更新プロセス中にインストール バージョンを正しくチェックできません。 この問題は、ユーザーをだまして、Zoom クライアントを安全性の低いバージョンにダウングレードさせるための、より高度な攻撃で利用される可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.10.0 より前のすべての Windows 版 Zoom Client for Meetings
  • バージョン 5.10.0 より前のすべての Windows 版カンファレンスルーム向け Zoom Rooms

情報元: 報告: Google Project Zero の Ivan Fratric 氏

ZSB-22007 05/17/2022 Zoom Client for Meetings でのセッション Cookie の不適切な制約 重大 CVE-2022-22785

重大度: 重大

CVSS スコア: 5.9

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

説明: バージョン 5.10.0 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)は、クライアント セッション Cookie を適切に制約できません。 この問題は、ユーザーの Zoom にスコープ設定されたセッション Cookie を Zoom 以外のドメインに送信するための、より高度な攻撃で利用される可能性があります。 これにより、Zoom ユーザーのなりすましが発生する可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.10.0 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)

情報元: 報告: Google Project Zero の Ivan Fratric 氏

ZSB- 22006 05/17/2022 Zoom Client for Meetings での不適切な XML 解析 重大 CVE-2022-22784

重大度: 重大

CVSS スコア: 8.1

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

説明: バージョン 5.10.0 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)は、XMPP メッセージ内の XML スタンザを適切に解析できません。 これにより、悪意のあるユーザーが、現在の XMPP メッセージ コンテキストから抜け出し、新しいメッセージ コンテキストを作成して、受信側ユーザーのクライアント プラットフォームにさまざまなアクションを実行させることができるようになります。 この問題は、サーバーから XMPP メッセージを偽装するための、より高度な攻撃で発生する利用される可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.10.0 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)

情報元: 報告: Google Project Zero の Ivan Fratric 氏

ZSB- 22005 04/27/2022 Zoom オンプレミス ミーティング サービスでのプロセスメモリの状態漏洩 重大 CVE-2022-22783

重大度: 重大

CVSS スコア: 8.3

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H

説明: バージョン 4.8.102.20220310 の Zoom オンプレミス ミーティング コネクタコントローラおよびバージョン 4.8.102.20220310 の オンプレミス ミーティング コネクタ MMRの脆弱性により、接続しているクライアントにプロセスメモリの断片が状態漏洩になり、パッシブな攻撃者により監視される可能性があります。

ユーザーは、最新の更新プログラムを適用するか、最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 4.8.102.20220310 の Zoom オンプレミス ミーティング コネクタ コントローラ
  • バージョン 4.8.102.20220310 の Zoom オンプレミス ミーティング コネクタ MMR

情報元: Zoom 攻撃セキュリティ チーム

ZSB-22004 04/27/2022 Windows 版 Zoom クライアントにおけるローカル特権昇格 重大 CVE-2022-22782

重大度: 重大

CVSS スコア: 7.9

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

説明: バージョン5.9.7 以前のWindows 版 Zoom Client for Meetings、バージョン5.10.0 以前のWindows 版 カンファレンスルームの Zoom Rooms 、バージョン5.10.3 以前のWindows 版 Microsoft Outlook の Zoom プラグイン、バージョン 5.9.6 以前のZoom VDI Windows Meeting Clientsは、インストーラーの修復操作中にローカル特権昇格問題による影響を受けやすくなりました。 悪意のあるアクターは、これを利用して、システムレベルのファイルやフォルダーを削除し、ユーザーのホストマシンに整合性や可用性の問題を引き起こす可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.9.7 以前のすべての Windows 版 Zoom Client for Meetings
  • バージョン 5.10.0 以前の Windows 版 カンファレンスルームのすべての Zoom Rooms
  • バージョン 5.10.3 以前の Windows 版 Microsoft Outlook のすべての Zoom プラグイン
  • バージョン 5.9.6 以前のすべての Zoom VDI Windows Meeting Clients

情報元: Zero Day Initiative による報告

ZSB-22003 04/27/2022 macOS 版 Zoom Client for Meetings の更新パッケージのダウングレード 重大 CVE-2022-22781

重大度: 重大

CVSS スコア: 7.5

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

説明: バージョン 5.9.6 以前の macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)は、更新プロセス中にパッケージのバージョンを適切にチェックできませんでした。 このような場合、悪意のあるアクターが、疑わしくないユーザーの現在インストールされているバージョンを、安全の低いバージョンに更新してしまう可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.9.6 以前のすべての macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)

情報元: Objective-See の Patrick Wardle 氏による報告

ZSB-22002 02/08/2022 高圧縮ファイル爆弾に対する Zoom Team Chat の脆弱性 重大 CVE-2022-22780

重大度: 重大

CVSS スコア: 4.7

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L

説明: Zoom Client for Meetings チャット機能には、バージョン 5.8.6 より前の Android、バージョン 5.9.0 より前の iOS、バージョン 5.8.6 より前の Linux、バージョン 5.7.3 より前の macOS、バージョン 5.6.3 より前の Windows で高圧縮ファイル爆弾攻撃に対する脆弱性がありました。 この問題により、システム リソースを使い果たすことでクライアント ホストでの可用性の問題が発生する可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.8.6 より前のすべての Android 版 Zoom Client for Meetings
  • バージョン 5.9.0 より前のすべての iOS 版 Zoom Client for Meetings
  • バージョン 5.8.6 より前のすべての Linux 版 Zoom Client for Meetings
  • バージョン 5.7.3 より前のすべての macOS 版 Zoom Client for Meetings
  • バージョン 5.6.3 より前のすべての Windows 版 Zoom Client for Meetings

情報元: 報告: Walmart Global Tech 社 Johnny Yu 氏

ZSB-22001 02/08/2022 macOS / Windows 版 Keybase クライアントにおける削除不能の開封済みメッセージ 重大 CVE-2022-22779

重大度: 重大

CVSS スコア: 3.7

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

説明: バージョン 5.9.0 より前の macOS / Windows 版 Keybase クライアントでは、ユーザーが開封したメッセージを適切に削除できなくなります。 この問題は、送信側のユーザーがメッセージを展開する前に、受信側のユーザーがチャット以外の機能に切り替え、ホストをスリープ状態に設定した場合に発生する可能性があります。 これにより、ユーザーのファイル システムから削除されるはずだった機密情報が漏洩する可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://keybase.io/download から最新のセキュリティ更新が適用された最新の Keybase ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.9.0 より前のすべての macOS / Windows 版 Keybase クライアント

情報元: 報告: Olivia O'Hara 氏

ZSB-21022 12/14/2021 Windows 版 Keybase クライアントにおける任意のコマンド実行 重大 CVE-2021-34426

重大度: 重大

CVSS スコア: 5.3

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

説明: ユーザーがコマンドラインで「keybase git lfs-config」コマンドを実行した際、バージョン 5.6.0 より前の Windows 版 Keybase クライアントで脆弱性が検出されました。 5.6.0 より前のバージョンでは、ユーザーの Git リポジトリへの書き込みアクセス権を持つ悪意のあるアクターがこの脆弱性を利用して、ユーザーのローカル システム上で任意の Windows コマンドを実行する可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://keybase.io/download から最新のセキュリティ更新が適用された最新の Keybase ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.6.0 より前のすべての Windows 版 Keybase クライアント

情報元: Ryotak 氏による報告

ZSB-21021 12/14/2021 Zoom Client for Meetings のチャットにおけるサーバーサイド リクエスト フォージェリー 重大 CVE-2021-34425

重大度: 重大

CVSS スコア: 4.7

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

説明: バージョン 5.7.3 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 向け)には、チャットの「リンク プレビュー」機能にサーバーサイド リクエスト フォージェリーの脆弱性が含まれています。 5.7.3 より前のバージョンでは、ユーザーがチャットの「リンク プレビュー」機能を有効にした場合、悪意のあるアクターが直接アクセスできない URL に任意の HTTP GET リクエストを送信するようユーザーを欺く可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.7.3 より前のすべての Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 向け)

情報元: 報告: Walmart Global Tech 社 Johnny Yu 氏

ZSB-21020 11/24/2021 Zoom クライアントおよび他製品におけるプロセスメモリの状態漏洩 重大 CVE-2021-34424

重大度: 重大

CVSS スコア: 5.3

CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

説明: このセキュリティ速報の「影響を受ける製品」セクションに記載された製品で、プロセスメモリの状態を漏洩させる可能性がある脆弱性が検出されました。 この問題は、製品のメモリにある任意の領域内の分析情報取得に使用される可能性があります。

Zoom は、以下のセクションに記載された製品の最新リリースでこの問題を解決しています。 ユーザーは、最新の更新プログラムを適用するか、最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.8.4 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 向け)
  • バージョン 5.8.1 より前の Blackberry 版 Zoom Client for Meetings(Android / iOS 向け)
  • バージョン 5.8.4 より前の Intune 版 Zoom Client for Meetings(Android / iOS 向け)
  • バージョン 5.0.1 より前の Chrome OS 版 Zoom Client for Meetings
  • バージョン 5.8.3 より前の Zoom Rooms for Conference Room(Android、AndroidBali、macOS、Windows 向け)
  • バージョン 5.8.3 より前の Zoom Rooms Controller(Android、iOS、Windows 向け)
  • バージョン 5.8.4 より前の Windows VDI 版 Zoom Meeting クライアント
  • バージョン 5.8.4.21112 より前の Azure Virtual Desktop 用 Zoom VDI プラグイン(Windows x86 / x64、IGEL x64、Ubuntu x64、HP ThinPro OS x64 向け)
  • バージョン 5.8.4.21112 より前の Citrix 用 Zoom VDI プラグイン(Windows x86 / x64、Mac ユニバーサル インストーラおよびアンインストーラ、IGEL x64、eLux RP6 x64、HP ThinPro OS x64、Ubuntu x64、CentOS x64、Dell ThinOS 向け)
  • バージョン 5.8.4.21112 より前の VMware 用 Zoom VDI プラグイン(Windows x86 / x64、Mac ユニバーサル インストーラおよびアンインストーラ、IGEL x64、eLux RP6 x64、HP ThinPro OS x64、Ubuntu x64、CentOS x64、Dell ThinOS 向け)
  • バージョン 5.7.6.1922 より前の Android 版 Zoom Meeting SDK
  • バージョン 5.7.6.1082 より前の iOS 版 Zoom Meeting SDK
  • バージョン 5.7.6.1081 より前の Windows 版 Zoom Meeting SDK
  • バージョン 5.7.6.1340 より前の Mac 版 Zoom Meeting SDK
  • バージョン 1.1.2 より前の Zoom Video SDK(Android、iOS、macOS、Windows 向け)
  • バージョン 4.8.12.20211115 より前の Zoom オンプレミス ミーティング コネクタ
  • バージョン 4.8.12.20211115 より前の Zoom オンプレミス ミーティング コネクタ MMR
  • バージョン 5.1.0.65.20211116 より前の Zoom オンプレミス レコーディング コネクタ
  • バージョン 4.4.7266.20211117 より前の Zoom オンプレミス バーチャル ルームコネクタ
  • バージョン 2.5.5692.20211117 より前の Zoom オンプレミス バーチャル ルームコネクタ ロードバランサ
  • バージョン 1.0.1058.20211116 より前の Zoom Hybrid Zproxy
  • バージョン 4.6.20211116.131_x86-64 より前の Zoom Hybrid MMR

情報元: 報告: Google Project Zero の Natalie Silvanovich 氏

ZSB-21019 11/24/2021 Zoom クライアントおよび他製品におけるバッファ オーバーフロー 重大 CVE-2021-34423

重大度: 重大

CVSS スコア: 7.3

CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

説明: このセキュリティ速報の「影響を受ける製品」セクションに記載された製品で、バッファ オーバーフローの脆弱性が検出されました。 これにより、悪意のあるアクターがサービスやアプリケーションをクラッシュさせたり、この脆弱性を利用して任意のコードを実行したりできるようになる可能性があります。

Zoom は、以下のセクションに記載された製品の最新リリースでこの問題を解決しています。 ユーザーは、最新の更新プログラムを適用するか、最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.8.4 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 向け)
  • バージョン 5.8.1 より前の Blackberry 版 Zoom Client for Meetings(Android / iOS 向け)
  • バージョン 5.8.4 より前の Intune 版 Zoom Client for Meetings(Android / iOS 向け)
  • バージョン 5.0.1 より前の Chrome OS 版 Zoom Client for Meetings
  • バージョン 5.8.3 より前の Zoom Rooms for Conference Room(Android、AndroidBali、macOS、Windows 向け)
  • バージョン 5.8.3 より前の Zoom Rooms Controller(Android、iOS、Windows 向け)
  • バージョン 5.8.4 より前の Windows VDI 版 Zoom Meeting クライアント
  • バージョン 5.8.4.21112 より前の Azure Virtual Desktop 用 Zoom VDI プラグイン(Windows x86 / x64、IGEL x64、Ubuntu x64、HP ThinPro OS x64 向け)
  • バージョン 5.8.4.21112 より前の Citrix 用 Zoom VDI プラグイン(Windows x86 / x64、Mac ユニバーサル インストーラおよびアンインストーラ、IGEL x64、eLux RP6 x64、HP ThinPro OS x64、Ubuntu x64、CentOS x64、Dell ThinOS 向け)
  • バージョン 5.8.4.21112 より前の VMware 用 Zoom VDI プラグイン(Windows x86 / x64、Mac ユニバーサル インストーラおよびアンインストーラ、IGEL x64、eLux RP6 x64、HP ThinPro OS x64、Ubuntu x64、CentOS x64、Dell ThinOS 向け)
  • バージョン 5.7.6.1922 より前の Android 版 Zoom Meeting SDK
  • バージョン 5.7.6.1082 より前の iOS 版 Zoom Meeting SDK
  • バージョン 5.7.6.1340 より前の macOS 版 Zoom Meeting SDK
  • バージョン 5.7.6.1081 より前の Windows 版 Zoom Meeting SDK
  • バージョン 1.1.2 より前の Zoom Video SDK(Android、iOS、macOS、Windows 向け)
  • バージョン 4.8.12.20211115 より前の Zoom オンプレミス ミーティング コネクタ コントローラ
  • バージョン 4.8.12.20211115 より前の Zoom オンプレミス ミーティング コネクタ MMR
  • バージョン 5.1.0.65.20211116 より前の Zoom オンプレミス レコーディング コネクタ
  • バージョン 4.4.7266.20211117 より前の Zoom オンプレミス バーチャル ルームコネクタ
  • バージョン 2.5.5692.20211117 より前の Zoom オンプレミス バーチャル ルームコネクタ ロードバランサ
  • バージョン 1.0.1058.20211116 より前の Zoom Hybrid Zproxy
  • バージョン 4.6.20211116.131_x86-64 より前の Zoom Hybrid MMR

情報元: 報告: Google Project Zero の Natalie Silvanovich 氏

ZSB-21018 11/09/2021 Windows 版 Keybase クライアントにおけるファイル名のパス トラバーサル 重大 CVE-2021-34422

重大度: 重大

CVSS スコア: 7.2

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

説明: バージョン 5.7.0 より前の Windows 版 Keybase クライアントには、チームフォルダにアップロードされたファイル名を検証する際、パス トラバーサルの脆弱性が含まれています。 悪意のあるユーザーが、特別に細工されたファイル名を含めて共有フォルダにファイルをアップロードすると、ユーザーがホストマシン上で想定されていなかったアプリケーションを実行できるようになる可能性があります。 悪意のあるユーザーが Keybase クライアントの公開フォルダ共有機能でこの脆弱性を利用した場合、リモートコードが実行される可能性があります。

Keybase は、Windows 版 Keybase クライアント バージョン 5.7.0 のリリースでこの問題を解決しました。 ユーザーは、最新の更新プログラムを適用するか、https://keybase.io/download から最新のセキュリティ更新が適用された最新の Keybase ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.7.0 より前の Windows 版 Keybase クライアント

情報元: 報告: m4t35z

ZSB-21017 11/09/2021 Android / iOS 版 Keybase クライアントにおける削除不能の開封済みメッセージ 重大 CVE-2021-34421

重大度: 重大

CVSS スコア: 3.7

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

説明: バージョン 5.8.0 より前の Android / iOS 版 Keybase クライアントでは、ユーザーが開封するメッセージの送信中に受信側のユーザーがチャット セッションをバックグラウンドに配置すると、ユーザーが開封したメッセージを適切に削除できなくなります。 これにより、お客様のデバイスから削除されるはずだった機密情報が漏洩する可能性があります。

Keybase は、Android / iOS 版 Keybase クライアント バージョン 5.8.0 のリリースでこの問題を解決しました。 ユーザーは、最新の更新プログラムを適用するか、https://keybase.io/download から最新のセキュリティ更新が適用された最新の Keybase ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.8.0 より前のすべての Android 版 Keybase クライアント
  • バージョン 5.8.0 より前のすべての iOS 版 Keybase クライアント

情報元: 報告: Olivia O'Hara 氏、John Jackson 氏、Jackson Henry 氏、Robert Willis 氏

ZSB-21016 11/09/2021 Windows 版 Zoom Client for Meetings におけるインストール実行ファイルの署名回避 重大 CVE-2021-34420

重大度: 重大

CVSS スコア: 4.7

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

説明: バージョン 5.5.4 より前の Windows 版 Zoom Client for Meetings インストーラは、.msi、.ps1、.bat の拡張子を持つファイルの署名を適切に検証しません。 これにより、悪意のあるアクターがお客様のコンピュータに悪意のあるソフトウェアをインストールする可能性があります。

Zoom は、Windows 版 Zoom Client for Meetings バージョン 5.5.4 のリリースでこの問題を解決しました。 ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.5.4 より前のすべての Windows 版 Zoom Client for Meetings

情報元: 報告: ManoMano 社 Laurent Delosieres 氏

ZSB-21015 11/09/2021 Linux 版 Zoom Client for Meetings における HTML インジェクション 重大 CVE-2021-34419

重大度: 重大

CVSS スコア: 3.7

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

説明: バージョン 5.1.0 より前の Ubuntu Linux 版 Zoom Client for Meetings には、ミーティング内の画面共有プロセスでユーザーにリモート コントロール リクエストを送信するときに HTML インジェクションの脆弱性が含まれています。 これにより、ミーティング参加者がソーシャル エンジニアリング攻撃の標的にされる可能性があります。

Zoom は、Ubuntu Linux 版 Zoom Client for Meetings バージョン 5.1.0 のリリースでこの問題を解決しました。 ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.1.0 より前の Ubuntu Linux 版 Zoom Client for Meetings

情報元: 報告: HackDefense 社 Danny de Weille 氏、Rick Verdoes 氏

ZSB-21014 11/09/2021 オンプレミスのウェブ コンソールにおける事前認証 Null ポインタによるクラッシュ 重大 CVE-2021-34418

重大度: 重大

CVSS スコア: 4.0

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

説明: このセキュリティ速報の「影響を受ける製品」セクションに記載された製品用のウェブ コンソールのサインイン サービスでは、認証中に NULL バイトが送信されたことを検証できません。 これにより、サインイン サービスがクラッシュする可能性があります。

影響を受けるプロダクト:

  • バージョン 4.6.239.20200613 より前の Zoom オンプレミス ミーティング コネクタ コントローラ
  • バージョン 4.6.239.20200613 より前の Zoom オンプレミス ミーティング コネクタ MMR
  • バージョン 3.8.42.20200905 より前の Zoom オンプレミス レコーディング コネクタ
  • バージョン 4.4.6344.20200612 より前の Zoom オンプレミス バーチャル ルームコネクタ
  • バージョン 2.5.5492.20200616 より前の Zoom オンプレミス バーチャル ルームコネクタ ロードバランサ

情報元: 報告: Jeremy Brown 氏

ZSB-21013 11/09/2021 MMR のウェブ コンソールを介した root 特権による認証済みリモート コマンドの実行 重大 CVE-2021-34417

重大度: 重大

CVSS スコア: 7.9

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

説明: このセキュリティ速報の「影響を受ける製品」セクションに記載された製品用のウェブポータルにあるネットワーク プロキシページでは、ネットワーク プロキシ パスワードを設定するリクエストで送信される入力を検証できません。 これにより、ウェブポータル管理者によるリモート コマンド インジェクションが行われる可能性があります。

影響を受けるプロダクト:

  • バージョン 4.6.365.20210703 より前の Zoom オンプレミス ミーティング コネクタ コントローラ
  • バージョン 4.6.365.20210703 より前の Zoom オンプレミス ミーティング コネクタ MMR
  • バージョン 3.8.45.20210703 より前の Zoom オンプレミス レコーディング コネクタ
  • バージョン 4.4.6868.20210703 より前の Zoom オンプレミス バーチャル ルームコネクタ
  • バージョン 2.5.5496.20210703 より前の Zoom オンプレミス バーチャル ルームコネクタ ロードバランサ

情報元: 報告: Jeremy Brown 氏

ZSB-21012 09/30/2021 ウェブポータルを介したオンプレミス イメージに対するリモートコード実行 重大 CVE-2021-34416

重大度: 重大

CVSS スコア: 5.5

CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

説明: バージョン 4.6.360.20210325 より前の Zoom オンプレミス ミーティング コネクタのネットワーク アドレス管理設定ウェブポータル、バージョン 4.6.360.20210325 より前の Zoom オンプレミス ミーティング コネクタ MMR、バージョン 3.8.44.20210326 より前の Zoom オンプレミス レコーディング コネクタ、バージョン 4.4.6752.20210326 より前のオンプレミス仮想ルーム コネクタをズーム、およびバージョン 2.5.5495.20210326 より前の Zoom オンプレミス バーチャル ルームコネクタ、ネットワークの更新に送信された要求を検証できません。 構成を行うため、ウェブポータル管理者によるオンプレミス イメージへのリモート コマンド注入が可能になります。

影響を受けるプロダクト:

  • バージョン 4.6.360.20210325 より前の Zoom オンプレミス ミーティング コネクタ
  • バージョン 4.6.360.20210325 より前の Zoom オンプレミス ミーティング コネクタ MMR
  • バージョン 3.8.44.20210326 より前の Zoom オンプレミス レコーディング コネクタ
  • バージョン 4.4.6752.20210326 より前の Zoom オンプレミス バーチャル ルームコネクタ
  • バージョン 2.5.5495.20210326 より前の Zoom オンプレミス バーチャル ルームコネクタ ロードバランサ

情報元: 報告: Positive Technologies 社 Egor Dimitrenko 氏

ZSB-21011 09/30/2021 多くの割り当てを引き起こす PDU を使用した ZC でのクラッシュ 重大 CVE-2021-34415

重大度: 重大

CVSS スコア: 7.5

CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

説明: バージョン 4.6.358.20210205 より前の Zoom オンプレミス ミーティング コネクタ コントローラのゾーン コントローラ サービスでは、受信ネットワーク パケットで送信される cnt フィールドを検証しないため、リソースが枯渇し、システムがクラッシュします。

影響を受けるプロダクト:

  • バージョン 4.6.358.20210205 より前の Zoom オンプレミス ミーティング コネクタ コントローラ

情報元: 報告: Positive Technologies 社 Nikita Abramov 氏

ZSB-21010 09/30/2021 ウェブポータルのネットワーク プロキシ設定を介したミーティング コネクタ サーバーに対するリモートコード実行 重大 CVE-2021-34414

重大度: 重大

CVSS スコア: 7.2

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

説明: バージョン 4.6.348.20201217 より前の Zoom オンプレミス ミーティング コネクタ コントローラ、バージョン 4.6.348.20201217 より前の Zoom オンプレミス ミーティング コネクタ MMR、バージョン 3.8.42.20200905 より前の Zoom オンプレミス レコーディング コネクタ、バージョン 4.4.6620.20201110 より前の Zoom オンプレミス バーチャル ルームコネクタ、バージョン 2.5.5495.20210326 より前の Zoom オンプレミス バーチャル ルームコネクタ ロードバランサ向けウェブポータルにあるネットワーク プロキシページでは、ネットワークのプロキシ設定を更新するリクエストで送信される入力を検証できないため、ウェブポータル管理者によるオンプレミス イメージへのリモート コマンド インジェクションが行われる可能性があります。

影響を受けるプロダクト:

  • バージョン 4.6.348.20201217 より前の Zoom オンプレミス ミーティング コネクタ コントローラ
  • バージョン 4.6.348.20201217 より前の Zoom オンプレミス ミーティング コネクタ MMR
  • バージョン 3.8.42.20200905 より前の Zoom オンプレミス レコーディング コネクタ
  • バージョン 4.4.6620.20201110 より前の Zoom オンプレミス バーチャル ルームコネクタ
  • バージョン 2.5.5495.20210326 より前の Zoom オンプレミス バーチャル ルームコネクタ ロードバランサ

情報元: 報告: Positive Technologies 社 Egor Dimitrenko 氏

ZSB-21009 09/30/2021 macOS 版 Zoom Plugin for Microsoft Outlook インストーラにおけるローカル特権昇格 重大 CVE-2021-34413

重大度: 重大

CVSS スコア: 2.8

CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

説明: バージョン 5.3.52553.0918 以前のすべての macOS 版 Zoom Plugin for Microsoft Outlook には、プラグインのインストール プロセス期間における Time-of-check Time-of-use(TOC / TOU)の脆弱性が存在します。 これにより、標準ユーザーが独自の悪意あるアプリケーションをプラグイン ディレクトリに書き込み、このアプリケーションを特権付きコンテキストで実行できるようになる可能性があります。

影響を受けるプロダクト:

  • バージョン 5.3.52553.0918 以前のすべての macOS 版 Zoom Plugin for Microsoft Outlook

情報元: 報告: Lockheed Martin 社 Red チーム

ZSB-21008 09/30/2021 Windows 版 Zoom Client for Meetings インストーラにおけるローカル特権昇格 重大 CVE-2021-34412

重大度: 重大

CVSS スコア: 4.4

CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

説明: バージョン 5.4.0 より前のすべての Windows 版 Zoom Client for Meetings のインストール プロセス中、Internet Explorer を起動することができます。 SCCM などの特権昇格によってインストーラが起動した場合、ローカル特権昇格も発生する可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.4.0 より前の Windows 版 Zoom Client for Meetings

情報元: 報告: Lockheed Martin 社 Red チーム

ZSB-21007 09/30/2021 Zoom Rooms for Conference Room インストーラにおけるローカル特権昇格 重大 CVE-2021-34411

重大度: 重大

CVSS スコア: 4.4

CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

説明: バージョン 5.3.0 より前の Windows 版 Zoom Rooms for Conference Room のインストール プロセス中、特権昇格で Internet Explorer を起動することができます。 SCCM などの特権昇格によってインストーラが起動した場合、ローカル特権昇格も発生する可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.3.0 より前の Windows 版 Zoom Rooms for Conference Room
  • バージョン 5.1.0 より前の Zoom Rooms for Conference Room

情報元: 報告: Lockheed Martin 社 Red チーム

ZSB-21004 09/30/2021 Zoom MSI インストーラにおけるジャンクションを使用した書き込み特権昇格 重大 CVE-2021-34408

重大度: 重大

CVSS スコア: 7.0

CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

説明: バージョン 5.3.2 より前の Windows 版 Zoom Client for Meetings のインストール中に作成されたユーザー書き込み可能なディレクトリは、ジャンクションを使用して別の場所にリダイレクトできます。 これにより、攻撃者は限定ユーザーしか変更できないファイルを上書きできるようになります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.3.2 より前の Windows 版 Zoom Client for Meetings

情報元: 報告: Lockheed Martin 社 Red チーム

ZSB-21003 09/30/2021 Windows 版 Zoom Client for Meetings インストーラにおけるデジタル署名の回避 重大 CVE-2021-33907

重大度: 重大

CVSS スコア: 7.0

CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H

説明: バージョン 5.3.0 より前のすべての Windows 版 Zoom Client for Meetings では、クライアントを更新するときに .msi ファイルへの署名に使用される証明書情報が適切に検証されません。 これにより、昇格した特権付きコンテキストでリモートコードが実行される可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.3.0 より前のすべての Windows 版 Zoom Client for Meetings

情報元: 報告: Lockheed Martin 社 Red チーム

ZSB-21002 03/06/2024 XMPP メッセージからの未検証の書き換えによる静的バッファーのヒープ オーバーフロー 重大 CVE-2021-30480

重大度: 重大

CVSS スコア: 8.1

CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H

説明: ヒープ領域のバッファー オーバーフローは、5.6.3 以前の Zoom Client for Meetings のすべてのデスクトップ バージョンで起こる可能性があります。 この問題は、2021 Pwn20wn Vancouver の一環として Zoom に報告されたものです。 Pwn20wn の期間中に示された攻撃チェーンは、Zoom が 2021 年 4 月 9 日に実施したインフラストラクチャのサーバー側の変更で緩和されました。

Pwn20wn 期間中、Zoom マーケットプレイス アプリの URL にアクセスするための XMPP メッセージを送信する際の不適切な URL 検証と、GIPHY 画像を表示する不正な URL 検証という他の 2 つの問題が報告されました。これらを組み合わせると、悪意あるユーザーはターゲットとするコンピュータでリモートコードを実行することができます。
この攻撃は、ターゲットが悪意のあるユーザーからの接続要求を事前に受け入れるか、悪意のあるユーザーとのマルチユーザー チャットに参加していないと、成功しません。 Pwn20wn で示された攻撃チェーンは、ターゲットに対する視認性が高く、複数のクライアント通知が発生します。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • 5.6.3 以前の Zoom Client for Meetings のすべてのデスクトップ バージョン

情報元: Zero Day Initiative を通した Computest の Daan Keuper 氏と Thijs Alkemade 氏による報告

ZSB-21001 03/26/2021 アプリケーション ウィンドウの画面共有機能 重大 CVE-2021-28133

重大度: 重大

CVSS スコア: 5.7

CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

説明: 個々のアプリケーション ウィンドウを共有する際に、脆弱性が Windows と Linux 版クライアントの画面共有機能に影響を及ぼし、画面共有中のユーザーが明示的に共有していないアプリケーション画面の内容が、他のウィンドウを最小化、最大化、または閉じる際に、短時間他のミーティング参加者に見られる可能性があります。

Zoom は Windows ユーザー向けに、この問題が発生する可能性を低減する Windows 版 Zoom クライアント バージョン 5.6 でいくつかの新しいセキュリティ軽減策を導入しました。 弊社は、影響を受けるすべてのプラットフォームでこの問題を解決するために、引き続き追加措置を講じるよう取り組んでいます。

Zoom はまた、Linux 版 Zoom クライアント バージョン 5.5.4 で、2021 年 3 月 1 日に Ubuntu ユーザーに生じた問題を解決しました。 ユーザーは、最新の更新プログラムを適用したり、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードできます。

影響を受けるプロダクト:

  • Windows 版 Zoom クライアントの全バージョン
  • Ubuntu 上の Linux 版 Zoom クライアント バージョン 5.5.4 以前
  • サポートされている他の配信のすべての Linux 版クライアント バージョン

情報元: Michael Stramez 氏と Matthias Deeg 氏が発見しました。

ZSB-20002 08/14/2020 Zoom Sharing Service における Windows DLL 重大 CVE-2020-9767

重大度: 重大

CVSS スコア: 7.8

CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

説明: Zoom Sharing Service に読み込まれるダイナミック リンク ライブラリ(「DLL」)に関連する脆弱性により、Windows のローカル ユーザーが NT AUTHORITY/SYSTEM ユーザーの特権を昇格させることができる可能性があります。

この脆弱性は、署名付き実行可能ファイルを読み込む際に動的に読み込まれる DLL の署名チェックが不十分であることに起因します。 攻撃者はこの脆弱性を悪用して、署名済みの Zoom の実行可能ファイルに悪意のある DLL を挿入し、それを使用して昇格された権限によりプロセスを起動する可能性があります。

Zoom は、クライアントのバージョン 5.0.4 のリリースによりこの問題を解決しました。 ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.0.4 以前の Windows 版 Zoom インストーラー(ZoomInstallerFull.msi)

情報元: Context Information Security 社の Connor Scott 氏

ZSB-20001 05/04/2020 Windows 版 Zoom IT インストーラー 重大 CVE-2020-11443

重大度: 重大

CVSS スコア: 基本: 8.4

CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:Hs

説明: Windows 版 Zoom のインストーラーがファイルを削除する際のジャンクションの処理方法に脆弱性があり、Windows のローカル ユーザーが、通常ユーザーが削除できないファイルを削除できる可能性があります。

この脆弱性は、インストーラーがファイルを削除するディレクトリ内のジャンクションのチェックが不十分であることに起因しており、標準ユーザーによる書き込みが可能になっています。 悪意あるローカル ユーザーが、保護されたシステム ファイルまたはユーザーが権限を持たない他のファイルに向くディレクトリにジャンクションを作成することにより、この脆弱性を悪用する可能性があります。 昇格された権限で Windows 版 Zoom インストーラーを実行すると、管理された展開ソフトウェアを使用して実行される場合と同様に、それらのファイルはシステムから削除されます。

Zoom は、クライアントのバージョン 4.6.10 のリリースでこの問題を解決しました。 ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 4.6.10 以前の Windows 版 Zoom インストーラー(ZoomInstallerFull.msi)

情報元: Lockheed Martin Red Team に感謝申し上げます。

ZSB-19003 07/12/2019 ZoomOpener デーモン 重大 CVE-2019-13567

重大度: 重大

CVSS スコア: 基本: 7.5

CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

説明: macOS 版 Zoom クライアントの脆弱性により、攻撃者は悪意のあるソフトウェアを被害者のデバイスにダウンロードできる可能性があります。

この脆弱性は、ZoomOpener ヘルパー アプリケーションでの不適切な入力検証とダウンロードしたソフトウェアの検証に起因しています。 攻撃者はこの脆弱性を悪用して、被害者のデバイスに対して、攻撃者の代わりにファイルをダウンロードするよう促す可能性があります。 被害者がこれまでに Zoom クライアントをアンインストールした場合にのみ悪用可能です。

Zoom は、クライアントのバージョン 4.4.52595.0425 のリリースでこの問題を解決しました。 ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 4.4.52595.0425 以前およびバージョン 4.1.27507.0627 以降の macOS 版 Zoom クライアント

情報元: 不明。

ZSB-19002 07/09/2019 デフォルトのビデオ設定 重大 CVE-2019-13450

重大度: 重大

CVSS スコア: 基本: 3.1

CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

説明: macOS 版 Zoom および RingCentral クライアントの脆弱性により、リモートの未認証の攻撃者が、ビデオカメラを有効にした状態でユーザーをビデオ通話に参加させる可能性があります。

この脆弱性は、ポート 19421 で実行されているローカルの Zoom ウェブサーバーと通信する可能性があるシステムを確認するための認証コントロールが不十分であることに起因しています。 攻撃者はこの脆弱性を悪用して、自身が設定したミーティングに Zoom クライアントを自動的に参加させる悪意のあるウェブサイトを作成する可能性があります。

Zoom は、2019 年 7 月 14 日に公開されたクライアントのバージョン 4.4.5 において、ミーティングに参加する前にユーザーに表示する新しいビデオ プレビュー ダイアログを実装しました。 このダイアログでは、ユーザーがビデオを有効にするか、または有効にしなくてもミーティングに参加できるようにし、ユーザーは希望するビデオの既定の動作を設定する必要があります。 Zoom は、最新の Zoom クライアントがリリースされた場合、https://zoom.us/download からインストールするようお客様に推奨しています。

影響を受けるプロダクト:

  • バージョン 4.4.5 以前の macOS 版 Zoom クライアント
  • バージョン 4.4.5 以前の macOS 版 RingCentral クライアント

情報元: Jonathan Leitschuh 氏が発見しました。

ZSB-19001 07/09/2019 DoS 攻撃 - macOS 重大 CVE-2019-13449

重大度: 重大

CVSS スコア: 基本: 3.1

CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

説明: macOS 版 Zoom クライアントの脆弱性により、リモートの未認証の攻撃者が、被害者のシステムで DoS 攻撃を行う可能性があります。

この脆弱性は、ポート 19421 で実行されているローカルの Zoom ウェブサーバーと通信する可能性があるシステムを確認するための認証コントロールが不十分であることに起因しています。 攻撃者はこの脆弱性を悪用して、Zoom クライアントを無効なミーティング ID を持つミーティングに繰り返し参加させる悪意のあるウェブサイトを作成する可能性があります。 無限ループにより Zoom クライアントは動作不能になり、実行されるシステムのパフォーマンスに影響を与える可能性があります。

この問題に対処するために、Zoom は、2019 年 4 月 28 日に macOS 版クライアントのバージョン 4.4.2 のホットフィックスをリリースしました。 ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 4.4.5 以前の macOS 版 Zoom クライアント
  • バージョン 4.4.5 以前の macOS 版 RingCentral クライアント

情報元: Jonathan Leitschuh 氏が発見しました。

No results found

個人用メールアドレスをご登録いただくと、今後の Zoom セキュリティ速報に関する通知を受信できます。 (注: メールのエイリアスはこれらの通知を受信しません)