Trust Center Security, Privacy, Blogs Additional Resources

セキュリティ速報

すべての重大度
  • すべての重大度
  • 重大
すべての CVE
  • すべての CVE
  • CVE-2023-39209
  • CVE-2023-39214
  • CVE-2023-39213
  • CVE-2023-39212
  • CVE-2023-39211
  • CVE-2023-39210
  • CVE-2023-39218
  • CVE-2023-39217
  • CVE-2023-39216
  • CVE-2023-36535
  • CVE-2023-36534
  • CVE-2023-36533
  • CVE-2023-36532
  • CVE-2023-36541
  • CVE-2023-36540
  • CVE-2023-36538
  • CVE-2023-36537
  • CVE-2023-36536
  • CVE-2023-34119
  • CVE-2023-34118
  • CVE-2023-34117
  • CVE-2023-34116
  • CVE-2023-36539
  • CVE-2023-34115
  • CVE-2023-34114
  • CVE-2023-34113
  • CVE-2023-34122
  • CVE-2023-34121
  • CVE-2023-34120
  • CVE-2023-28603
  • CVE-2023-28602
  • CVE-2023-28601
  • CVE-2023-28600
  • CVE-2023-28599
  • CVE-2023-28598
  • CVE-2023-28597
  • CVE-2023-28596
  • CVE-2023-22883
  • CVE-2023-22881
    CVE-2023-22882
  • CVE-2023-22880
  • CVE-2022-36930
  • CVE-2022-36929
  • CVE-2022-36928
  • CVE-2022-36926
    CVE-2022-36927
  • CVE-2022-36925
  • CVE-2022-36924
  • CVE-2022-28768
  • CVE-2022-28766
  • CVE-2022-28764
  • CVE-2022-28763
  • CVE-2022-28762
  • CVE-2022-28761
  • CVE-2022-28760
  • CVE-2022-28758
    CVE-2022-28759
  • CVE-2022-28757
  • CVE-2022-28756
  • CVE-2022-28751
  • CVE-2022-28753
    CVE-2022-28754
  • CVE-2022-28755
  • CVE-2022-28750
  • CVE-2022-28749
  • CVE-2022-22788
  • CVE-2022-22787
  • CVE-2022-22786
  • CVE-2022-22785
  • CVE-2022-22784
  • CVE-2022-22783
  • CVE-2022-22782
  • CVE-2022-22781
  • CVE-2022-22780
  • CVE-2022-22779
  • CVE-2021-34426
  • CVE-2021-34425
  • CVE-2021-34424
  • CVE-2021-34423
  • CVE-2021-34422
  • CVE-2021-34421
  • CVE-2021-34420
  • CVE-2021-34419
  • CVE-2021-34418
  • CVE-2021-34417
  • CVE-2021-34416
  • CVE-2021-34415
  • CVE-2021-34414
  • CVE-2021-34413
  • CVE-2021-34412
  • CVE-2021-34411
  • CVE-2021-34408
  • CVE-2021-33907
  • CVE-2021-30480
  • CVE-2021-28133
  • CVE-2020-9767
  • CVE-2020-11443
  • CVE-2019-13567
  • CVE-2019-13450
  • CVE-2019-13449
検索

セキュリティ速報

Zoom では、Zoom セキュリティ速報による通知に伴い、個人のお客様に脆弱性の影響に関するガイドを提供していません。また、脆弱性に関する追加の詳細情報も提供していません。 ユーザーの皆様には、最新バージョンの Zoom ソフトウェアに更新して、最新版の修正やセキュリティ改善をご利用いただくことを推奨しています。

ZSB 日付 タイトル 重大度 CVE(該当する場合)
ZSB-23041 08/08/2023 Windows 版 Zoom デスクトップ クライアント - 不適切な入力認証 CVE-2023-39209

重大度: Medium

CVSS スコア: 5.9

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

説明: バージョン 5.15.5 より前の Windows 版 Zoom デスクトップ クライアントにおける不適切な入力認証により、認証済みユーザーによるネットワーク アクセス経由での情報開示が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.5 より前の Windows 版 Zoom デスクトップ クライアント

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23039 08/08/2023 Zoom クライアント SDK - 機密情報の漏えい CVE-2023-39214

重大度: High

CVSS スコア: 7.6

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H

説明: バージョン 5.15.5 より前の Zoom クライアント SDK における機密情報の公開により、認証済みユーザーによるネットワーク アクセス経由でのサービス拒否攻撃が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.5 より前の Windows 版 Zoom クライアント SDK
  • バージョン 5.15.5 より前の iOS 版 Zoom クライアント SDK
  • バージョン 5.15.5 より前の Android 版 Zoom クライアント SDK
  • バージョン 5.15.5 より前の macOS 版 Zoom クライアント SDK
  • バージョン 5.15.5 より前の Linux 版 Zoom クライアント SDK

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23038 08/08/2023 Windows 版 Zoom デスクトップ クライアントおよび Zoom VDI クライアント - 特殊要素の不適切な無効化 重大 CVE-2023-39213

重大度: Critical

CVSS スコア: 9.6

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

説明: バージョン 5.15.2 より前の Windows 版 Zoom デスクトップ クライアントおよび Zoom VDI クライアントにおける特殊要素の不適切な無効化により、認証されていないユーザーによるネットワーク アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.2 より前の Windows 版 Zoom デスクトップ クライアント
  • バージョン 5.15.2 より前の Zoom VDI クライアント

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23037 08/08/2023 Windows 版 Zoom Rooms - 信頼性のない検索パス CVE-2023-39212

重大度: High

CVSS スコア: 7.9

CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

説明: バージョン 5.15.5 より前の Windows 版 Zoom Rooms における信頼性のない検索パスにより、認証済みユーザーによるローカル アクセス経由でのサービス拒否攻撃が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.5 より前の Windows 版 Zoom Rooms

情報元: 報告: sim0nsecurity

ZSB-23036 08/08/2023 Windows 版 Zoom デスクトップ クライアントおよび Windows 版 Zoom Rooms - 不適切な特権管理 CVE-2023-39211

重大度: High

CVSS スコア: 8.8

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

説明: バージョン 5.15.5 より前の Windows 版 Zoom デスクトップ クライアントおよび Windows 版 Zoom Rooms における不適切な特権管理により、認証済みユーザーによるローカル アクセス経由での情報開示が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.5 より前の Windows 版 Zoom デスクトップ
  • バージョン 5.15.5 より前の Windows 版 Zoom Rooms

情報元: 報告: sim0nsecurity

ZSB-23035 08/08/2023 Windows 版 Zoom クライアント SDK - 機密情報の平文保存 CVE-2023-39210

重大度: Medium

CVSS スコア: 5.5

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

説明: バージョン 5.15.0 より前の Windows 版 Zoom クライアント SDK における機密情報の平文保存により、認証済みユーザーによるローカル アクセス経由での情報開示が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.0 より前の Windows 版 Zoom クライアント SDK

情報元: 報告: sim0nsecurity

ZSB-23034 08/08/2023 Zoom クライアント - サーバー側セキュリティのクライアント側での適用 CVE-2023-39218

重大度: Medium

CVSS スコア: 6.5

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

説明: バージョン 5.14.10 より前の Zoom クライアントにおいて、サーバー側セキュリティがクライアント側で適用されることにより、特権付きユーザーによるネットワーク アクセス経由での情報開示が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.10 より前の Windows 版 Zoom デスクトップ クライアント
  • バージョン 5.14.10 より前の macOS 版 Zoom デスクトップ クライアント
  • バージョン 5.14.10 より前の Linux 版 Zoom デスクトップ クライアント
  • バージョン 5.14.10 より前の Zoom VDI ホストおよびプラグイン
  • バージョン 5.14.10 より前の Android 版 Zoom モバイルアプリ
  • バージョン 5.14.10 より前の iOS 版 Zoom モバイルアプリ
  • バージョン 5.14.10 より前の iPad 版 Zoom Rooms
  • バージョン 5.14.10 より前の Android 版 Zoom Rooms
  • バージョン 5.14.10 より前の Windows 版 Zoom Rooms
  • バージョン 5.14.10 より前の macOS 版 Zoom Rooms

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23033 08/08/2023 Zoom SDK - 不適切な入力認証 標準 CVE-2023-39217

重大度: 標準

CVSS スコア: 5.3

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

説明: バージョン 5.14.10 より前の Zoom SDK における不適切な入力認証により、認証されていないユーザーによるネットワーク アクセス経由でのサービス拒否攻撃が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.10 より前の Windows 版 Zoom クライアント SDK
  • バージョン 5.14.10 より前の iOS 版 Zoom クライアント SDK
  • バージョン 5.14.10 より前の Android 版 Zoom クライアント SDK
  • バージョン 5.14.10 より前の macOS 版 Zoom クライアント SDK
  • バージョン 5.14.10 より前の Linux 版 Zoom クライアント SDK

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23032 08/08/2023 Windows 版 Zoom デスクトップ クライアント - 不適切な入力認証 重大 CVE-2023-39216

重大度: 重大

CVSS スコア: 9.6

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

説明: バージョン 5.14.7 より前の Windows 版 Zoom デスクトップ クライアントにおける不適切な入力認証により、認証されていないユーザーによるネットワーク アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.7 より前の Windows 版 Zoom デスクトップ クライアント

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23031 08/08/2023 Zoom クライアント - サーバー側セキュリティのクライアント側での適用 CVE-2023-36535

重大度: 高

CVSS スコア: 7.1

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L

説明: バージョン 5.14.10 より前の Zoom クライアントにおいて、サーバー側セキュリティがクライアント側で適用されることにより、認証済みユーザーによるネットワーク アクセス経由での情報開示が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.10 より前の Windows 版 Zoom クライアント
  • バージョン 5.14.10 より前の macOS 版 Zoom デスクトップ クライアント
  • バージョン 5.14.10 より前の Linux 版 Zoom デスクトップ クライアント
  • バージョン 5.14.10 より前の Zoom VDI ホストおよびプラグイン
  • バージョン 5.14.10 より前の Android 版 Zoom モバイルアプリ
  • バージョン 5.14.10 より前の iOS 版 Zoom モバイルアプリ
  • バージョン 5.14.10 より前の iPad 版 Zoom Rooms
  • バージョン 5.14.10 より前の Android 版 Zoom Rooms
  • バージョン 5.14.10 より前の Windows 版 Zoom Rooms
  • バージョン 5.14.10 より前の macOS 版 Zoom Rooms

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23030 08/08/2023 Windows 版 Zoom デスクトップ クライアント - パス トラバーサル 重大 CVE-2023-36534

重大度: 重大

CVSS スコア: 9.3

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H

説明: バージョン 5.14.7 より前の Windows 版 Zoom デスクトップ クライアントにおけるパス トラバーサルにより、認証されていないユーザーによるネットワーク アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.7 より前の Windows 版 Zoom デスクトップ クライアント

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23029 08/08/2023 Zoom SDK - 制御不能なリソースの消費 CVE-2023-36533

重大度: 高

CVSS スコア: 7.1

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

説明: バージョン 5.14.7 より前の Zoom SDK における制御不能なリソースの消費により、認証されていないユーザーによるネットワーク アクセス経由でのサービス拒否攻撃が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.7 より前の Windows 版 Zoom クライアント SDK
  • バージョン 5.14.7 より前の iOS 版 Zoom クライアント SDK
  • バージョン 5.14.7 より前の Android 版 Zoom クライアント SDK
  • バージョン 5.14.7 より前の macOS 版 Zoom クライアント SDK
  • バージョン 5.14.7 より前の Linux 版 Zoom クライアント SDK

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23028 08/08/2023 Zoom クライアント - バッファ オーバーフロー 標準 CVE-2023-36532

重大度: 標準

CVSS スコア: 5.9

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

説明: バージョン 5.14.5 より前の Zoom クライアントにおけるバッファ オーバーフローにより、認証されていないユーザーによるネットワーク アクセス経由でのサービス拒否攻撃が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.5 より前の Windows 版 Zoom デスクトップ クライアント
  • バージョン 5.14.5 より前の macOS 版 Zoom デスクトップ クライアント
  • バージョン 5.14.5 より前の Linux 版 Zoom デスクトップ クライアント
  • バージョン 5.14.5 より前の Zoom VDI ホストおよびプラグイン
  • バージョン 5.14.5 より前の Android 版 Zoom モバイルアプリ
  • バージョン 5.14.5 より前の iOS 版 Zoom モバイルアプリ
  • バージョン 5.14.5 より前の iPad 版 Zoom Rooms
  • バージョン 5.14.5 より前の Android 版 Zoom Rooms
  • バージョン 5.14.5 より前の Windows 版 Zoom Rooms
  • バージョン 5.14.5 より前の macOS 版 Zoom Rooms

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23027 08/08/2023 Windows 版 Zoom デスクトップ クライアント - データ信頼性の不十分な認証 CVE-2023-36541

重大度: 高

CVSS スコア: 8

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

説明: バージョン 5.14.5 より前の Windows 版 Zoom デスクトップ クライアントにおけるデータ信頼性の不十分な認証により、認証済みユーザーによるネットワーク アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.5 より前の Windows 版 Zoom デスクトップ クライアント

情報元: 報告: sim0nsecurity

ZSB-23026 08/08/2023 Windows 版 Zoom デスクトップ クライアント - 信頼性のない検索パス CVE-2023-36540

重大度: 高

CVSS スコア: 7.3

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

説明: バージョン 5.14.5 より前の Windows 版 Zoom デスクトップ クライアント向けインストーラにおける信頼性のない検索パスにより、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.5 より前の Windows 版 Zoom デスクトップ クライアント

情報元: 報告: sim0nsecurity

ZSB-23024 07/11/2023 不適切なアクセス コントロール CVE-2023-36538

重大度: 高

CVSS スコア: 8.4

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

説明: バージョン 5.15.0 より前の Windows 版 Zoom Rooms における不適切なアクセス コントロールにより、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.0 より前の Windows 版 Zoom Rooms

情報元: 報告: sim0nsecurity

ZSB-23023 07/11/2023 不適切な特権管理 CVE-2023-36537

重大度: 高

CVSS スコア: 7.3

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

説明: バージョン 5.14.5 より前の Windows 版 Zoom Rooms における不適切な特権管理により、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.5 より前の Windows 版 Zoom Rooms

情報元: 報告: sim0nsecurity

ZSB-23022 07/11/2023 信頼性のない検索パス CVE-2023-36536

重大度: 高

CVSS スコア: 8.2

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

説明: バージョン 5.15.0 より前の Windows 版 Zoom Rooms 向けインストーラにおける信頼性のない検索パスにより、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.0 より前の Windows 版 Zoom Rooms

情報元: 報告: sim0nsecurity

ZSB-23021 07/11/2023 セキュリティ保護されていない一時ファイル CVE-2023-34119

重大度: 高

CVSS スコア: 8.2

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

説明: バージョン 5.15.0 より前の Windows 版 Zoom Rooms 向けインストーラにおけるセキュリティ保護されていない一時ファイルにより、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.0 より前の Windows 版 Zoom Rooms

情報元: 報告: sim0nsecurity

ZSB-23020 07/11/2023 不適切な特権管理 CVE-2023-34118

重大度: 高

CVSS スコア: 7.3

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

説明: バージョン 5.14.5 より前の Windows 版 Zoom Rooms における不適切な特権管理により、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.5 より前の Windows 版 Zoom Rooms

情報元: 報告: sim0nsecurity

ZSB-23019 07/11/2023 相対パス トラバーサル CVE-2023-34117

重大度: 低

CVSS スコア: 3.3

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

説明: バージョン 5.15.0 より前の Zoom クライアント SDK における相対パス トラバーサルにより、承認されていないユーザーによるローカル アクセス経由での情報公開が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.0 より前の Zoom クライアント SDK

情報元: 報告: Dimitrios Valsamaras 氏(Microsoft)

ZSB-23018 07/11/2023 不適切な入力検証 CVE-2023-34116

重大度: 高

CVSS スコア: 8.2

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:H

説明: バージョン 5.15.0 より前の Windows 版 Zoom デスクトップ クライアントにおける不適切な入力認証により、承認されていないユーザーによるネットワーク アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.15.0 より前の Windows 版 Zoom デスクトップ クライアント

情報元: 報告: sim0nsecurity

ZSB-23025 06/29/2023 機密情報の漏えい 標準 CVE-2023-36539

重大度: 標準

CVSS スコア: 5.3

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

説明: 一部の Zoom クライアントによって暗号化される予定の情報が漏えいすると、機密情報の漏えいにつながる可能性があります。

Zoom では、ミーティングごとのキーを使用してミーティング内チャット メッセージを暗号化し、TLS 暗号化を使用してこれらの暗号化されたメッセージをユーザー デバイスと Zoom 間で送信します。 影響を受けたプロダクトでは、エンドツーエンド暗号化(E2EE)ミーティング中に送信されたメッセージを含め、ミーティングごとのキーは使用せず TLS のみを使用して、各ミーティング内チャット メッセージのコピーも暗号化され送信されました。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。また、影響を受けたバージョンを使用中はミーティング内チャットの使用を避けてください。

影響を受けるプロダクト:

  • Windows 版 Zoom デスクトップ クライアント 5.15.0、5.15.1
  • macOS 版 Zoom デスクトップ クライアント バージョン 5.15.0 のみ
  • Linux 版 Zoom デスクトップ クライアント バージョン 5.15.0 のみ
  • iOS 版 Zoom モバイルアプリ バージョン 5.15.0 のみ
  • Android 版 Zoom モバイルアプリ バージョン 5.15.0 のみ
  • Windows 版 Zoom Rooms バージョン 5.15.0 のみ
  • macOS 版 Zoom Rooms バージョン 5.15.0 のみ
  • iPad 版 Zoom Rooms バージョン 5.15.0 のみ
  • Zoom Phone 専用ハードウェア バージョン 5.15.0 のみ
  • Android 版 Zoom Meeting SDK バージョン 5.15.0 のみ
  • iOS 版 Zoom Meeting SDK バージョン 5.15.0 のみ
  • macOS 版 Zoom Meeting SDK バージョン 5.15.0 のみ
  • Windows 版 Zoom Meeting SDK バージョン 5.15.1 のみ
  • Windows 版 Zoom Video SDK バージョン 1.8.0 のみ
  • macOS 版 Zoom Video SDK バージョン 1.8.0 のみ
  • Android 版 Zoom Video SDK バージョン 1.8.0 のみ
  • iOS 版 Zoom Video SDK バージョン 1.8.0 のみ
  • Linux 版 Zoom Video SDK バージョン 1.8.0 のみ

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23017 06/13/2023 入力サイズチェックなしのバッファコピー 標準 CVE-2023-34115

重大度: 標準

CVSS スコア: 4.0

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

説明: バージョン 5.13.0 より前の Zoom Meeting SDK における入力サイズチェックなしのバッファコピーにより、認証済みユーザーによるローカル アクセス経由でのサービス妨害が可能になるおそれがあります。 この問題により、Zoom Meeting SDK がクラッシュし、再起動が必要になることがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.13.0 より前の Zoom Meeting SDK

情報元: 報告: Eugene Lim 氏

ZSB-23016 06/13/2023 誤った領域へのリソース漏洩 標準 CVE-2023-34114

重大度: 標準

CVSS スコア: 4.3

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N

説明: バージョン 5.14.10 より前の Zoom for Windows クライアントおよび Zoom for macOS クライアントにおける誤った領域へのリソース漏洩により、認証済みユーザーによるネットワーク アクセス経由での情報漏洩が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.10 より前の Zoom for Windows
  • バージョン 5.14.10 より前の Zoom for macOS

情報元: 報告: Siddhi Katariya 氏(chikorita)

ZSB-23015 06/13/2023 データ信頼性の不十分な認証 CVE-2023-34113

重大度: 高

CVSS スコア: 8

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

説明: バージョン 5.14.0 より前の Zoom for Windows クライアントにおけるデータ信頼性の不十分な認証により、認証済みユーザーによるネットワーク アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.0 より前の Zoom for Windows クライアント

情報元: 報告: sim0nsecurity

ZSB-23014 06/13/2023 不適切な入力検証 CVE-2023-34122

重大度: 高

CVSS スコア: 7.3

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L

説明: バージョン 5.14.0 より前の Zoom for Windows クライアントにおけるインストーラでの不適切な入力検証により、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.0 より前の Zoom for Windows クライアント

情報元: 報告: sim0nsecurity

ZSB-23013 06/13/2023 不適切な入力検証 標準 CVE-2023-34121

重大度: 標準

CVSS スコア: 4.9

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N

説明: バージョン 5.14.0 より前の Zoom for Windows、Zoom Rooms、Windows VDI 版 Zoom Meeting の各クライアントにおける不適切な入力検証により、認証済みユーザーによるネットワーク アクセス経由での特権昇格が可能になるおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.0 より前の Zoom for Windows クライアント
  • バージョン 5.14.0 より前の Windows 版 Zoom Rooms クライアント
  • バージョン 5.14.0 より前の Windows VDI 版 Zoom Meeting クライアント

情報元: 報告: ASPIA InfoTech、Mohit Rawat 氏

ZSB-23012 06/13/2023 不適切な特権管理 CVE-2023-34120

重大度: 高

CVSS スコア: 8.7

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L

説明: バージョン 5.14.0 より前の Zoom for Windows、Windows 版 Zoom Rooms、Windows VDI 版 Zoom の各クライアントにおける不適切な特権管理により、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。 ユーザーは Zoom クライアントが維持する高レベルのシステム特権を利用して、昇格済みの特権でプロセスを実行してしまう可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.0 より前の Zoom for Windows クライアント
  • バージョン 5.14.0 より前の Windows 版 Zoom Rooms クライアント
  • バージョン 5.14.0 より前の Windows VDI 版 Zoom Meeting クライアント

情報元: 報告: sim0nsecurity

ZSB-23011 06/13/2023 Zoom VDI クライアント インストーラでの不適切なアクセス コントロール CVE-2023-28603

重大度: 高

CVSS スコア: 7.7

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:L

説明: バージョン 5.14.0 より前の Zoom VDI クライアント インストーラには、不適切なアクセス コントロールの脆弱性が含まれています。 悪意のあるユーザーが適切な権限なしでローカル ファイルを削除してしまうおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.0 より前の Windows VDI 版 Zoom Meeting インストーラ

情報元: 報告: sim0nsecurity

ZSB-23010 06/13/2023 Zoom クライアントにおける暗号署名の不適切な認証 CVE-2023-28602

重大度: 低

CVSS スコア: 2.8

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

説明: バージョン 5.13.5 より前の Zoom for Windows クライアントには、暗号署名の不適切な認証に関する脆弱性が含まれています。 悪意のあるユーザーが Zoom クライアント コンポーネントを以前のバージョンにダウングレードしてしまうおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.13.5 より前の Zoom for Windows クライアント

情報元: 報告: Kirin 氏(Pwnrin)

ZSB-23009 06/13/2023 Zoom クライアントにおけるメモリバッファ範囲内での不適切なオペレーション制限 CVE-2023-28601

重大度: 低

CVSS スコア: 2

CVSS ベクトル文字列: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

説明: バージョン 5.14.0 より前の Zoom for Windows クライアントには、メモリバッファ範囲内での不適切なオペレーション制限に関する脆弱性が含まれています。 悪意のあるユーザーは、保護された Zoom クライアントのメモリバッファを変更して、Zoom クライアント内で整合性の問題を引き起こすおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.0 より前の Zoom for Windows クライアント

情報元: 報告: sim0nsecurity

ZSB-23008 06/13/2023 Zoom クライアントにおける不適切なアクセス コントロール 標準 CVE-2023-28600

重大度: 標準

CVSS スコア: 6.6

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:L

説明: バージョン 5.14.0 より前の Zoom for macOS クライアントには、不適切なアクセス コントロールの脆弱性が含まれています。 悪意のあるユーザーは、Zoom クライアントのファイルを削除 / 置換して、Zoom クライアントに対する整合性および可用性の欠陥を引き起こすおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.14.0 より前の Zoom for macOS クライアント

情報元: 報告: Koh M. Nakagawa 氏(@tsunek0h)

ZSB-23007 06/13/2023 Zoom クライアントにおける HTML インジェクションの脆弱性 標準 CVE-2023-28599

重大度: 標準

CVSS スコア: 4.2

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

説明: バージョン 5.13.10 より前の Zoom クライアントには、HTML インジェクションの脆弱性が含まれています。 悪意のあるユーザーは、HTML を表示名に挿入して、ミーティング作成中に被害者を有害なウェブサイトに誘導してしまうおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.13.10 より前の Zoom クライアント(Android、iOS、Linux、macOS、Windows)

情報元: 報告: ASPIA InfoTech、Mohit Rawat 氏

ZSB-23006 06/13/2023 Linux 版 Zoom クライアントにおける HTML インジェクション CVE-2023-28598

重大度: 高

CVSS スコア: 7.5

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

説明: バージョン 5.13.10 より前の Linux 版 Zoom クライアントには、HTML インジェクションの脆弱性が含まれています。 被害者が悪意のあるユーザーとのチャットを開始すると、Zoom アプリケーションがクラッシュしてしまうおそれがあります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.13.10 より前の Linux 版 Zoom クライアント

情報元: 報告: Antoine Roly 氏(aroly)

ZSB-23005 03/14/2023 Zoom クライアントでの SMB に対する不適切な信頼境界線の実装 [Updated 2023-04-07] CVE-2023-28597

重大度: 高

CVSS スコア: 8.3

CVSS ベクトル文字列: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

説明: バージョン 5.13.5 より前の Zoom クライアントに不適切な信頼境界線実装の脆弱性が含まれています。 被害者がローカル レコーディングを SMB の場所に保存し、その後 Zoom ウェブポータルからリンクを使用して開くと、被害者のクライアントに隣接するネットワーク上にいる攻撃者が悪意のある SMB サーバーを設定してクライアントのリクエストに応答し、クライアントは攻撃者が制御する実行可能ファイルを実行する可能性があります。 これにより攻撃者がユーザーのデバイスとデータにアクセスし、リモートでコードを実行する可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

* 変更 - 2023年4月7日 - 「影響を受けるプロダクト」セクションから Android と iOS を削除

影響を受けるプロダクト:

  • バージョン 5.13.5 より前の Zoom クライアント(Linux、macOS、Windows)
  • バージョン 5.13.5 より前の Zoom Rooms クライアント(Linux、macOS、Windows)
  • バージョン 5.13.10 より前の Windows VDI 版 Zoom Meeting クライアント

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23004 03/14/2023 Zoom for macOS インストーラにおけるローカル特権昇格 標準 CVE-2023-28596

重大度: 標準

CVSS スコア: 5.2

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L

説明: バージョン 5.13.5 より前の IT 管理者向け macOS 版 Zoom クライアント インストーラにローカル特権昇格の脆弱性が含まれています。 特権の少ないローカル ユーザーは、インストール プロセス中に攻撃チェーンでこの脆弱性を利用して自身の特権をルートへの特権に昇格させる可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.13.5 より前の IT 管理者向け macOS 版 Zoom Client for Meetings インストーラ

情報元: 報告: Koh M. Nakagawa 氏(tsunekoh)

ZSB-23003 03/14/2023 Zoom for Windows インストーラにおけるローカル特権昇格 CVE-2023-22883

重大度: 高

CVSS スコア: 7.2

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:H

説明: バージョン 5.13.5 より前の IT 管理者向け Windows 版 Zoom クライアント インストーラにローカル特権昇格の脆弱性が含まれています。 特権の少ないローカル ユーザーは、インストール プロセス中に攻撃チェーンでこの脆弱性を利用して自身の特権をシステム ユーザーに昇格させる可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.13.5 より前の IT 管理者向け Windows 版 Zoom Client for Meetings インストーラ

情報元: 報告: sim0nsecurity

ZSB-23002 03/14/2023 Zoom クライアントにおけるサービス妨害(DoS) 標準 CVE-2023-22881
CVE-2023-22882

重大度: 標準

CVSS スコア: 6.5

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

説明: バージョン 5.13.5 より前の Zoom クライアントに STUN 解析の脆弱性が含まれています。 悪意のあるアクターが、特別に細工された UDP トラフィックを被害者の Zoom クライアントに送信すると、リモートでクライアントをクラッシュさせてサービス拒否を引き起こす可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.13.5 より前の Zoom(for Android、iOS、Linux、macOS、Windows)クライアント

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-23001 03/14/2023 Zoom for Windows クライアントにおける情報開示 標準 CVE-2023-22880

重大度: 標準

CVSS スコア: 6.8

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

説明: バージョン 5.13.3 より前の Zoom for Windows クライアント、バージョン 5.13.5 より前の Windows 版 Zoom Rooms クライアント、バージョン 5.13.1 より前の Windows VDI 版 Zoom クライアントに情報開示の脆弱性が含まれています。 影響を受けている Zoom クライアントで使用されている Microsoft Edge WebView2 ランタイムの最新の更新では、ローカルの Windows Spellcheck ではなく、Microsoft のオンライン スペルチェック サービスにテキストが送信されました。 Zoom の更新でこの機能を無効にすることにより、この脆弱性を修復します。 Microsoft Edge WebView2 ランタイムをバージョン 109.0.1481.0 以降に更新して Zoom を再起動することにより、Microsoft の遠隔測定動作が更新され、この脆弱性が修復されます。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.13.3 より前の Zoom for Windows クライアント
  • バージョン 5.13.3 より前の Windows 版 Zoom Rooms クライアント
  • バージョン 5.13.1 より前の Windows VDI 版 Zoom クライアント

情報元: 報告: Zoom セキュリティ チーム

ZSB-22035 01/06/2023 Windows 版 Zoom Rooms インストーラにおけるローカル特権昇格 CVE-2022-36930

重大度: 高

CVSS スコア: 8.2

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

説明: バージョン 5.13.0 より前の Windows 版 Zoom Rooms インストーラにローカル特権昇格の脆弱性が含まれています。 特権の少ないローカル ユーザーは、攻撃チェーンでこの脆弱性を利用し、自身の特権をシステム ユーザーに昇格させる可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.13.0 より前の Windows 版 Zoom Rooms インストーラ

情報元: 報告: sim0nsecurity

ZSB-22034 01/06/2023 Windows 版 Zoom Rooms クライアントにおけるローカル特権昇格 CVE-2022-36929

重大度: 高

CVSS スコア: 7.8

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H

説明: バージョン 5.12.7 より前の Windows 版 Zoom Rooms クライアントにローカル特権昇格の脆弱性が含まれています。 特権の少ないローカル ユーザーは、攻撃チェーンでこの脆弱性を利用し、自身の特権をシステム ユーザーに昇格させる可能性があります。
ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.12.7 より前の Windows 版 Zoom Rooms クライアント

情報元: 報告: sim0nsecurity

ZSB-22033 01/06/2023 Zoom for Android クライアントにおけるパス トラバーサル 標準 CVE-2022-36928

重大度: 標準

CVSS スコア: 6.1

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

説明: バージョン 5.13.0 より前の Zoom for Android クライアントにパス トラバーサルの脆弱性が含まれています。 サードパーティ アプリがこの脆弱性を利用して Zoom アプリケーションのデータ ディレクトリの読み取りと書き込みをする可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.13.0 より前の Zoom for Android クライアント

情報元: 報告: Dimitrios Valsamaras 氏(Microsoft)

ZSB-22032 01/06/2023 macOS 版 Zoom Rooms クライアントにおけるローカル特権昇格 CVE-2022-36926
CVE-2022-36927

重大度: 高

CVSS スコア: 8.8

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

説明: バージョン 5.11.3 より前の macOS 版 Zoom Rooms クライアントにローカル特権昇格の脆弱性が含まれています。 特権の少ないローカル ユーザーは、この脆弱性を利用して自身の特権をルートに昇格させる可能性があります。
ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.11.3 より前の macOS 版 Zoom Rooms クライアント

情報元: 報告: Kirin 氏(Pwnrin)

ZSB-22031 01/06/2023 macOS 版 Zoom Rooms クライアントにおけるセキュリティ保護されていないキーの生成 標準 CVE-2022-36925

重大度: 標準

CVSS スコア: 4.4

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

説明: バージョン 5.11.4 より前の macOS 版 Zoom Rooms クライアントにセキュリティ保護されていないキー生成のメカニズムが含まれています。 Zoom Rooms デーモン サービスと Zoom Rooms クライアント間の IPC に使用される暗号化キーが、特権の少ないローカル アプリケーションによって取得された可能性のあるパラメータを使用して生成されました。 その後このキーを使用してデーモン サービスと対話し、特権関数を実行してローカルのサービス拒否を引き起こす可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.11.4 より前の macOS 版 Zoom Rooms

情報元: 報告: Kirin 氏(Pwnrin)

ZSB-22030 11/15/2022 Windows 版 Zoom Rooms インストーラにおけるローカル特権昇格 CVE-2022-36924

重大度: 高

CVSS スコア: 8.8

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

説明: バージョン 5.12.6 より前の Windows 版 Zoom Rooms インストーラには、ローカル特権昇格の脆弱性が含まれています。 特権の少ないローカル ユーザーは、インストール プロセスでこの脆弱性を利用して自身の特権をシステム ユーザーに昇格させる可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.12.6 より前の Windows 版 Zoom Rooms インストーラ

情報元: 報告: sim0nsecurity

ZSB-22029 11/15/2022 macOS 版 Zoom クライアント インストーラにおけるローカル特権昇格 CVE-2022-28768

重大度: 高

CVSS スコア: 8.8

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

説明: バージョン 5.12.6 より前の macOS 版 Zoom Client for Meetings インストーラ(標準ユーザーおよび IT 管理者向け)にローカル特権昇格の脆弱性が含まれています。 特権の少ないローカル ユーザーは、インストール プロセスでこの脆弱性を利用して自身の特権をルートに昇格させる可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.12.6 より前の macOS 版 Zoom Client for Meetings インストーラ(標準ユーザーおよび IT 管理者向け)

情報元: 報告: Koh M. Nakagawa 氏(tsunekoh)

ZSB-22027 11/15/2022 Windows 版 Zoom クライアントにおける DLL インジェクション CVE-2022-28766

重大度: 高

CVSS スコア: 8.1

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L

説明: バージョン 5.12.6 より前の Windows 32 ビット版 Zoom Client for Meetings およびカンファレンス ルーム向け Zoom Rooms は、DLL インジェクションの脆弱性の影響を受けやすくなります。 特権の少ないローカル ユーザーは、この脆弱性を利用して Zoom クライアントのコンテキストで任意のコードを実行する可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.12.6 より前の Windows 32 ビット版 Zoom Client for Meetings
  • バージョン 5.12.6 より前の Windows 32 ビット VDI 版 Zoom Meeting クライアント
  • バージョン 5.12.6 より前の Windows 32 ビット版カンファレンス ルーム向け Zoom Rooms

情報元: 報告: sim0nsecurity

ZSB-22025 11/10/2022 Zoom クライアントにおけるローカル情報の漏えい CVE-2022-28764

重大度: 低

CVSS スコア: 3.3

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

説明: バージョン 5.12.6 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)は、ローカル情報の漏えいに関する脆弱性の影響を受けやすくなります。

ミーティング終了後にローカル SQL データベースからのデータ消去に失敗し、そのデータベースを暗号化する安全性の低いデバイスごとの鍵を使用すると、悪意のあるローカル ユーザーが、そのローカル ユーザー アカウントから、以前に出席したミーティングのミーティング内チャットなどのミーティング情報を取得できるようになります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.12.6 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)
  • バージョン 5.12.6 より前の Windows VDI 版 Zoom Meeting クライアント
  • バージョン 5.12.6 より前のカンファレンス ルーム向け Zoom Rooms(Android、iOS、Linux、macOS、Windows 版)

情報元: 報告: SySS GmbH 社、Christian Zäske 氏

ZSB-22024 10/24/2022 Zoom デスクトップ クライアント / Zoom モバイルアプリでの不適切な URL 解析 CVE-2022-28763

重大度: 高

CVSS スコア: 8.8

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

説明: バージョン 5.12.2 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)は、URL 解析の脆弱性の影響を受けやすくなります。 悪意のある Zoom ミーティングの URL が開かれると、ユーザーは悪意のあるリンクによって任意のネットワーク アドレスに接続するよう誘導され、その結果セッションの乗っ取りなど、さらなる攻撃につながる可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.12.2 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)
  • バージョン 5.12.2 より前の Windows VDI 版 Zoom Meeting クライアント
  • バージョン 5.12.2 より前のカンファレンス ルーム向け Zoom Rooms(Android、iOS、Linux、macOS、Windows 版)

情報元: 報告: Zoom セキュリティ チーム

ZSB-22023 10/11/2022 macOS 版 Zoom Client for Meetings の Zoom Apps におけるデバッグポートの設定ミス CVE-2022-28762

重大度: 高

CVSS スコア: 7.3

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

説明: バージョン 5.10.6 以降バージョン 5.12.0 より前の macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)には、デバッグポートの設定ミスが含まれています。 特定の Zoom Apps を実行して、カメラモードのレンダリング コンテキストが Zoom アプリの Layers API の一部として有効になると、Zoom クライアントによってローカルのデバッグポートが開かれます。 悪意のあるローカル ユーザーがこのデバッグポートを使用して Zoom クライアントで実行している Zoom Apps に接続し、制御する可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.10.6 以降バージョン 5.12.0 より前の macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)

情報元: 報告: Zoom セキュリティ チーム

ZSB-22022 10/11/2022 Zoom オンプレミス導入: 不適切なアクセスの制御 標準 CVE-2022-28761

重大度: 標準

CVSS スコア: 6.5

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

説明: バージョン 4.8.20220916.131 より前の Zoom オンプレミス ミーティング コネクタ MMR には、不適切なアクセス コントロールの脆弱性が含まれています。 その結果、悪意のあるアクターは、参加を承認されているミーティングまたはウェビナーで、参加者がオーディオやビデオを受信しないようにして、ミーティングの中断を引き起こす可能性があります。

Zoom オンプレミス導入では、IT 管理者は「Updating a virtual appliance(英語)」(https://support.zoom.us/hc/en-us/articles/360043960031)に記載された方法に従うことで、Zoom ソフトウェアを最新の状態に保つことができます。

影響を受けるプロダクト:

  • バージョン 4.8.20220916.131 以前の Zoom オンプレミス ミーティング コネクタ MMR

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-22021 09/13/2022 Zoom オンプレミス導入: 不適切なアクセスの制御 標準 CVE-2022-28760

重大度: 標準

CVSS スコア: 6.5

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

説明: バージョン 4.8.20220815.130 以前の Zoom オンプレミス ミーティング コネクタ MMR には、不適切なアクセスの制御に脆弱性が存在します。 その結果、悪意のあるアクターが他の参加者に見られることなく、参加が承認されているミーティングに参加する可能性があります。

Zoom オンプレミス導入では、IT 管理者は「Updating a virtual appliance(英語)」(https://support.zoom.us/hc/en-us/articles/360043960031)に記載された方法に従うことで、Zoom ソフトウェアを最新の状態に保つことができます。

影響を受けるプロダクト:

  • バージョン 4.8.20220815.130 以前の Zoom オンプレミス ミーティング コネクタ MMR

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-22020 09/13/2022 Zoom オンプレミス導入: 不適切なアクセスの制御 CVE-2022-28758
CVE-2022-28759

重大度: 高

CVSS スコア: 8.2

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

説明: バージョン 4.8.20220815.130 以前の Zoom オンプレミス ミーティング コネクタ MMR には、不適切なアクセスの制御に脆弱性が存在します。 その結果、悪意のあるアクターが、参加を承認されていないミーティングのオーディオやビデオのフィードを取得し、他のミーティングを中断させる可能性があります。

Zoom オンプレミス導入では、IT 管理者は「Updating a virtual appliance(英語)」(https://support.zoom.us/hc/en-us/articles/360043960031)に記載された方法に従うことで、Zoom ソフトウェアを最新の状態に保つことができます。

影響を受けるプロダクト:

  • バージョン 4.8.20220815.130 以前の Zoom オンプレミス ミーティング コネクタ MMR

情報元: 報告: Zoom セキュリティ チーム

ZSB-22019 08/17/2022 macOS 版 Zoom Client for Meetings における自動アップデータのローカル特権昇格 CVE-2022-28757

重大度: 高

CVSS スコア: 8.8

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

説明: バージョン 5.7.3 から 5.11.6 より前のすべての macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)には、自動更新プロセスにおける脆弱性が含まれています。 特権の少ないローカル ユーザーは、この脆弱性を利用して自身の特権をルートに昇格させる可能性があります。

注: この問題により、5.11.5 で発行された CVE-2022-28756 に対処するためのパッチのバイパスが可能になります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.7.3 以降バージョン 5.11.6 以前の macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)

情報元: 報告: Csaba Fitzl(theevilbit)(攻撃セキュリティ)

ZSB-22018 08/13/2022 macOS 版 Zoom プロダクトにおける自動アップデータのローカル特権昇格 [Updated 2022-09-13] CVE-2022-28756

重大度: 高

CVSS スコア: 8.8

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

説明: バージョン 5.7.3 から 5.11.5 より前のすべての macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)と、バージョン 5.11.6 より前の macOS 版カンファレンス ルーム向け Zoom Rooms には、自動更新プロセスにおける脆弱性が含まれています。 特権の少ないローカル ユーザーは、この脆弱性を利用して自身の特権をルートに昇格させる可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

* 変更 - 2022 年 9 月 13 日 - タイトルと説明を更新、「影響を受ける製品」セクションに Zoom Rooms を追加。

影響を受けるプロダクト:

  • バージョン 5.7.3 以降バージョン 5.11.5 以前の macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)
  • バージョン 5.11.6 以前の macOS 版カンファレンス ルーム向け Zoom Rooms

情報元: Objective-See の Patrick Wardle 氏による報告

ZSB-22017 08/09/2022 macOS 版 Zoom Client for Meetings におけるローカル特権昇格 CVE-2022-28751

重大度: 高

CVSS スコア: 8.8

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

説明: バージョン 5.11.3 以前の macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)には、更新プロセス中のパッケージの署名検証に脆弱性が存在します。 特権の少ないローカル ユーザーは、この脆弱性を利用して自身の特権をルートに昇格させる可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.11.3 以前の macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)

情報元: Objective-See の Patrick Wardle 氏による報告

ZSB-22014 08/09/2022 Zoom オンプレミス導入: 不適切なアクセスの制御 CVE-2022-28753
CVE-2022-28754

重大度: 高

CVSS スコア: 7.1

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

説明: バージョン 4.8.129.20220714 以前の Zoom オンプレミス ミーティング コネクタ MMR には、不適切なアクセスの制御に脆弱性が存在します。 その結果、悪意のあるアクターは、他の参加者に見られることなく参加が承認されているミーティングに参加したり、待機室からミーティングへの入室を自分自身で許可したり、ホストになって他のミーティングの中断を引き起こしたりする可能性があります。

Zoom オンプレミス導入では、IT 管理者は「Updating a virtual appliance(英語)」(https://support.zoom.us/hc/en-us/articles/360043960031)に記載された方法に従うことで、Zoom ソフトウェアを最新の状態に保つことができます。

影響を受けるプロダクト:

  • バージョン 4.8.129.20220714 以前の Zoom オンプレミス ミーティング コネクタ MMR

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-22016 08/09/2022 Zoom デスクトップ クライアント / Zoom モバイルアプリでの不適切な URL 解析 [Updated 2022-10-24] 重大 CVE-2022-28755

重大度: 重大

CVSS スコア: 9.6

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

説明: バージョン 5.11.0 以前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)は、URL 解析の脆弱性の影響を受けやすくなります。 悪意のある Zoom ミーティングの URL が開かれると、ユーザーは悪意のあるリンクによって任意のネットワーク アドレスに接続するよう誘導され、その結果任意のパスから実行可能ファイルが起動されてリモートコードが実行される可能性があるなど、さらなる攻撃につながる可能性があります。

*変更 - 2022年10月24日 - 「影響を受けるプロダクト」セクションに Zoom Rooms を追加。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.11.0 以前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-22012 08/09/2022 Zoom オンプレミス導入: ミーティング コネクタにおけるスタック バッファ オーバーフロー CVE-2022-28750

重大度: 高

CVSS スコア: 7.5

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

説明: バージョン 4.8.20220419.112 より前の Zoom オンプレミス ミーティング コネクタ ゾーン コントローラ(ZC)では、STUN エラーコードが正しく解析されないため、メモリが破損する可能性があり、悪意のあるアクターがアプリケーションをクラッシュさせる可能性があります。 4.8.12.20211115 以前のバージョンでは、この脆弱性を利用して任意のコードが実行される可能性もあります。

Zoom オンプレミス導入では、IT 管理者は「Updating a virtual appliance(英語)」(https://support.zoom.us/hc/en-us/articles/360043960031)に記載された指示に従うことで、Zoom ソフトウェアを最新の状態に保つことができます。

影響を受けるプロダクト:

  • バージョン 4.8.20220419.112 以前の Zoom オンプレミス ミーティング コネクタ ゾーン コントローラ(ZC)

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-22011 06/14/2022 ミーティング参加期間における不十分な認証チェック 標準 CVE-2022-28749

重大度: 標準

CVSS スコア: 6.5

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

説明: バージョン 4.8.113.20220526 より前の Zoom オンプレミス ミーティング コネクタ MMR では、Zoom でのミーティング出席者の権限を適切にチェックできません。 その結果、Zoom の待合室内に潜む脅威のアクターは、ホストの同意なしでミーティングに参加できます。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 4.8.113.20220526 より前のオンプレミス ミーティング コネクタ

情報元: 報告: Zoom 攻撃セキュリティ チーム

ZSB-22010 06/14/2022 Zoom / Zoom Rooms クライアント向け Zoom オープナー インストーラにおける DLL インジェクション CVE-2022-22788

重大度: 高

CVSS スコア: 7.1

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

説明: Zoom Meeting クライアントをインストールせずにミーティングに参加しようとすると、ユーザーにより Zoom オープナー インストーラが [ミーティングの起動] ページからダウンロードされます。 バージョン 5.10.3 より前の Zoom Client for Meetings 向け Zoom オープナー インストーラと、バージョン 5.10.3 より前の Windows 版カンファレンス ルーム向け Zoom Rooms は、DLL インジェクション攻撃の影響を受けやすくなります。 この脆弱性は、被害者のホストマシン上で任意のコード実行に利用されるおそれがあります。

ユーザーは、以前のバージョンの Zoom オープナー インストーラを削除し、[ミーティングの起動] ページの [今すぐダウンロード] ボタンから最新バージョンの Zoom オープナー インストーラを実行することで、セキュリティを確保できます。 また、https://zoom.us/download から、すべての最新のセキュリティ更新が適用された最新版 Zoom ソフトウェアをダウンロードすることでも、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.10.3 より前の Windows 版 Zoom Client for Meetings
  • バージョン 5.10.3 より前のすべての Windows 版カンファレンス ルーム向け Zoom Rooms

情報元: 報告: James Tsz Ko Yeung 氏

ZSB-22009 05/17/2022 Zoom Client for Meetings でのサーバー切り替え時のホスト名の検証が不十分 標準 CVE-2022-22787

重大度: 標準

CVSS スコア: 5.9

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

説明: バージョン 5.10.0 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)は、サーバー切り替えリクエスト時にホスト名を正しく検証できません。 この問題は、Zoom サービスを使用しようとしたときに、疑いを持たないユーザーのクライアントをだまして、悪意のあるサーバーに接続させるための、より高度な攻撃で利用される可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.10.0 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)

情報元: 報告: Google Project Zero の Ivan Fratric 氏

ZSB-22008 05/17/2022 Windows 版 Zoom Client for Meetings の更新パッケージのダウングレード CVE-2022-22786

重大度: 高

CVSS スコア: 7.5

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

説明: バージョン 5.10.0 より前の Windows 版 Zoom Client for Meetings およびバージョン 5.10.0 より前の Windows 版カンファレンス ルーム向け Zoom Rooms は、更新プロセス中にインストール バージョンを正しくチェックできません。 この問題は、ユーザーをだまして、Zoom クライアントを安全性の低いバージョンにダウングレードさせるための、より高度な攻撃で利用される可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.10.0 より前のすべての Windows 版 Zoom Client for Meetings
  • バージョン 5.10.0 より前のすべての Windows 版カンファレンスルーム向け Zoom Rooms

情報元: 報告: Google Project Zero の Ivan Fratric 氏

ZSB-22007 05/17/2022 Zoom Client for Meetings でのセッション Cookie の不適切な制約 標準 CVE-2022-22785

重大度: 標準

CVSS スコア: 5.9

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

説明: バージョン 5.10.0 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)は、クライアント セッション Cookie を適切に制約できません。 この問題は、ユーザーの Zoom にスコープ設定されたセッション Cookie を Zoom 以外のドメインに送信するための、より高度な攻撃で利用される可能性があります。 これにより、Zoom ユーザーのなりすましが発生する可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.10.0 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)

情報元: 報告: Google Project Zero の Ivan Fratric 氏

ZSB- 22006 05/17/2022 Zoom Client for Meetings での不適切な XML 解析 CVE-2022-22784

重大度: 高

CVSS スコア: 8.1

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

説明: バージョン 5.10.0 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)は、XMPP メッセージ内の XML スタンザを適切に解析できません。 これにより、悪意のあるユーザーが、現在の XMPP メッセージ コンテキストから抜け出し、新しいメッセージ コンテキストを作成して、受信側ユーザーのクライアント プラットフォームにさまざまなアクションを実行させることができるようになります。 この問題は、サーバーから XMPP メッセージを偽装するための、より高度な攻撃で発生する利用される可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.10.0 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)

情報元: 報告: Google Project Zero の Ivan Fratric 氏

ZSB- 22005 04/27/2022 Zoom オンプレミス ミーティング サービスでのプロセスメモリの状態漏洩 CVE-2022-22783

重大度: 高

CVSS スコア: 8.3

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H

説明: バージョン 4.8.102.20220310 の Zoom オンプレミス ミーティング コネクタコントローラおよびバージョン 4.8.102.20220310 の オンプレミス ミーティング コネクタ MMRの脆弱性により、接続しているクライアントにプロセスメモリの断片が状態漏洩になり、パッシブな攻撃者により監視される可能性があります。

ユーザーは、最新の更新プログラムを適用するか、最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 4.8.102.20220310 の Zoom オンプレミス ミーティング コネクタ コントローラ
  • バージョン 4.8.102.20220310 の Zoom オンプレミス ミーティング コネクタ MMR

情報元: Zoom 攻撃セキュリティ チーム

ZSB-22004 04/27/2022 Windows 版 Zoom クライアントにおけるローカル特権昇格 CVE-2022-22782

重大度: 高

CVSS スコア: 7.9

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H

説明: バージョン5.9.7 以前のWindows 版 Zoom Client for Meetings、バージョン5.10.0 以前のWindows 版 カンファレンスルームの Zoom Rooms 、バージョン5.10.3 以前のWindows 版 Microsoft Outlook の Zoom プラグイン、バージョン 5.9.6 以前のZoom VDI Windows Meeting Clientsは、インストーラーの修復操作中にローカル特権昇格問題による影響を受けやすくなりました。 悪意のあるアクターは、これを利用して、システムレベルのファイルやフォルダーを削除し、ユーザーのホストマシンに整合性や可用性の問題を引き起こす可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.9.7 以前のすべての Windows 版 Zoom Client for Meetings
  • バージョン 5.10.0 以前の Windows 版 カンファレンスルームのすべての Zoom Rooms
  • バージョン 5.10.3 以前の Windows 版 Microsoft Outlook のすべての Zoom プラグイン
  • バージョン 5.9.6 以前のすべての Zoom VDI Windows Meeting Clients

情報元: Zero Day Initiative による報告

ZSB-22003 04/27/2022 macOS 版 Zoom Client for Meetings の更新パッケージのダウングレード CVE-2022-22781

重大度: 高

CVSS スコア: 7.5

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

説明: バージョン 5.9.6 以前の macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)は、更新プロセス中にパッケージのバージョンを適切にチェックできませんでした。 このような場合、悪意のあるアクターが、疑わしくないユーザーの現在インストールされているバージョンを、安全の低いバージョンに更新してしまう可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.9.6 以前のすべての macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)

情報元: Objective-See の Patrick Wardle 氏による報告

ZSB-22002 02/08/2022 高圧縮ファイル爆弾に対する Zoom Team Chat の脆弱性 標準 CVE-2022-22780

重大度: 標準

CVSS スコア: 4.7

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L

説明: Zoom Client for Meetings チャット機能には、バージョン 5.8.6 より前の Android、バージョン 5.9.0 より前の iOS、バージョン 5.8.6 より前の Linux、バージョン 5.7.3 より前の macOS、バージョン 5.6.3 より前の Windows で高圧縮ファイル爆弾攻撃に対する脆弱性がありました。 この問題により、システム リソースを使い果たすことでクライアント ホストでの可用性の問題が発生する可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.8.6 より前のすべての Android 版 Zoom Client for Meetings
  • バージョン 5.9.0 より前のすべての iOS 版 Zoom Client for Meetings
  • バージョン 5.8.6 より前のすべての Linux 版 Zoom Client for Meetings
  • バージョン 5.7.3 より前のすべての macOS 版 Zoom Client for Meetings
  • バージョン 5.6.3 より前のすべての Windows 版 Zoom Client for Meetings

情報元: 報告: Walmart Global Tech 社 Johnny Yu 氏

ZSB-22001 02/08/2022 macOS / Windows 版 Keybase クライアントにおける削除不能の開封済みメッセージ CVE-2022-22779

重大度: 低

CVSS スコア: 3.7

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

説明: バージョン 5.9.0 より前の macOS / Windows 版 Keybase クライアントでは、ユーザーが開封したメッセージを適切に削除できなくなります。 この問題は、送信側のユーザーがメッセージを展開する前に、受信側のユーザーがチャット以外の機能に切り替え、ホストをスリープ状態に設定した場合に発生する可能性があります。 これにより、ユーザーのファイル システムから削除されるはずだった機密情報が漏洩する可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://keybase.io/download から最新のセキュリティ更新が適用された最新の Keybase ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.9.0 より前のすべての macOS / Windows 版 Keybase クライアント

情報元: 報告: Olivia O'Hara 氏

ZSB-21022 12/14/2021 Windows 版 Keybase クライアントにおける任意のコマンド実行 標準 CVE-2021-34426

重大度: 標準

CVSS スコア: 5.3

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L

説明: ユーザーがコマンドラインで「keybase git lfs-config」コマンドを実行した際、バージョン 5.6.0 より前の Windows 版 Keybase クライアントで脆弱性が検出されました。 5.6.0 より前のバージョンでは、ユーザーの Git リポジトリへの書き込みアクセス権を持つ悪意のあるアクターがこの脆弱性を利用して、ユーザーのローカル システム上で任意の Windows コマンドを実行する可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://keybase.io/download から最新のセキュリティ更新が適用された最新の Keybase ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.6.0 より前のすべての Windows 版 Keybase クライアント

情報元: Ryotak 氏による報告

ZSB-21021 12/14/2021 Zoom Client for Meetings のチャットにおけるサーバーサイド リクエスト フォージェリー 標準 CVE-2021-34425

重大度: 標準

CVSS スコア: 4.7

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

説明: バージョン 5.7.3 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 向け)には、チャットの「リンク プレビュー」機能にサーバーサイド リクエスト フォージェリーの脆弱性が含まれています。 5.7.3 より前のバージョンでは、ユーザーがチャットの「リンク プレビュー」機能を有効にした場合、悪意のあるアクターが直接アクセスできない URL に任意の HTTP GET リクエストを送信するようユーザーを欺く可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.7.3 より前のすべての Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 向け)

情報元: 報告: Walmart Global Tech 社 Johnny Yu 氏

ZSB-21020 11/24/2021 Zoom クライアントおよび他製品におけるプロセスメモリの状態漏洩 標準 CVE-2021-34424

重大度: 標準

CVSS スコア: 5.3

CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

説明: このセキュリティ速報の「影響を受ける製品」セクションに記載された製品で、プロセスメモリの状態を漏洩させる可能性がある脆弱性が検出されました。 この問題は、製品のメモリにある任意の領域内の分析情報取得に使用される可能性があります。

Zoom は、以下のセクションに記載された製品の最新リリースでこの問題を解決しています。 ユーザーは、最新の更新プログラムを適用するか、最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.8.4 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 向け)
  • バージョン 5.8.1 より前の Blackberry 版 Zoom Client for Meetings(Android / iOS 向け)
  • バージョン 5.8.4 より前の Intune 版 Zoom Client for Meetings(Android / iOS 向け)
  • バージョン 5.0.1 より前の Chrome OS 版 Zoom Client for Meetings
  • バージョン 5.8.3 より前の Zoom Rooms for Conference Room(Android、AndroidBali、macOS、Windows 向け)
  • バージョン 5.8.3 より前の Zoom Rooms Controller(Android、iOS、Windows 向け)
  • バージョン 5.8.4 より前の Windows VDI 版 Zoom Meeting クライアント
  • バージョン 5.8.4.21112 より前の Azure Virtual Desktop 用 Zoom VDI プラグイン(Windows x86 / x64、IGEL x64、Ubuntu x64、HP ThinPro OS x64 向け)
  • バージョン 5.8.4.21112 より前の Citrix 用 Zoom VDI プラグイン(Windows x86 / x64、Mac ユニバーサル インストーラおよびアンインストーラ、IGEL x64、eLux RP6 x64、HP ThinPro OS x64、Ubuntu x64、CentOS x64、Dell ThinOS 向け)
  • バージョン 5.8.4.21112 より前の VMware 用 Zoom VDI プラグイン(Windows x86 / x64、Mac ユニバーサル インストーラおよびアンインストーラ、IGEL x64、eLux RP6 x64、HP ThinPro OS x64、Ubuntu x64、CentOS x64、Dell ThinOS 向け)
  • バージョン 5.7.6.1922 より前の Android 版 Zoom Meeting SDK
  • バージョン 5.7.6.1082 より前の iOS 版 Zoom Meeting SDK
  • バージョン 5.7.6.1081 より前の Windows 版 Zoom Meeting SDK
  • バージョン 5.7.6.1340 より前の Mac 版 Zoom Meeting SDK
  • バージョン 1.1.2 より前の Zoom Video SDK(Android、iOS、macOS、Windows 向け)
  • バージョン 4.8.12.20211115 より前の Zoom オンプレミス ミーティング コネクタ
  • バージョン 4.8.12.20211115 より前の Zoom オンプレミス ミーティング コネクタ MMR
  • バージョン 5.1.0.65.20211116 より前の Zoom オンプレミス レコーディング コネクタ
  • バージョン 4.4.7266.20211117 より前の Zoom オンプレミス バーチャル ルームコネクタ
  • バージョン 2.5.5692.20211117 より前の Zoom オンプレミス バーチャル ルームコネクタ ロードバランサ
  • バージョン 1.0.1058.20211116 より前の Zoom Hybrid Zproxy
  • バージョン 4.6.20211116.131_x86-64 より前の Zoom Hybrid MMR

情報元: 報告: Google Project Zero の Natalie Silvanovich 氏

ZSB-21019 11/24/2021 Zoom クライアントおよび他製品におけるバッファ オーバーフロー CVE-2021-34423

重大度: 高

CVSS スコア: 7.3

CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

説明: このセキュリティ速報の「影響を受ける製品」セクションに記載された製品で、バッファ オーバーフローの脆弱性が検出されました。 これにより、悪意のあるアクターがサービスやアプリケーションをクラッシュさせたり、この脆弱性を利用して任意のコードを実行したりできるようになる可能性があります。

Zoom は、以下のセクションに記載された製品の最新リリースでこの問題を解決しています。 ユーザーは、最新の更新プログラムを適用するか、最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.8.4 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 向け)
  • バージョン 5.8.1 より前の Blackberry 版 Zoom Client for Meetings(Android / iOS 向け)
  • バージョン 5.8.4 より前の Intune 版 Zoom Client for Meetings(Android / iOS 向け)
  • バージョン 5.0.1 より前の Chrome OS 版 Zoom Client for Meetings
  • バージョン 5.8.3 より前の Zoom Rooms for Conference Room(Android、AndroidBali、macOS、Windows 向け)
  • バージョン 5.8.3 より前の Zoom Rooms Controller(Android、iOS、Windows 向け)
  • バージョン 5.8.4 より前の Windows VDI 版 Zoom Meeting クライアント
  • バージョン 5.8.4.21112 より前の Azure Virtual Desktop 用 Zoom VDI プラグイン(Windows x86 / x64、IGEL x64、Ubuntu x64、HP ThinPro OS x64 向け)
  • バージョン 5.8.4.21112 より前の Citrix 用 Zoom VDI プラグイン(Windows x86 / x64、Mac ユニバーサル インストーラおよびアンインストーラ、IGEL x64、eLux RP6 x64、HP ThinPro OS x64、Ubuntu x64、CentOS x64、Dell ThinOS 向け)
  • バージョン 5.8.4.21112 より前の VMware 用 Zoom VDI プラグイン(Windows x86 / x64、Mac ユニバーサル インストーラおよびアンインストーラ、IGEL x64、eLux RP6 x64、HP ThinPro OS x64、Ubuntu x64、CentOS x64、Dell ThinOS 向け)
  • バージョン 5.7.6.1922 より前の Android 版 Zoom Meeting SDK
  • バージョン 5.7.6.1082 より前の iOS 版 Zoom Meeting SDK
  • バージョン 5.7.6.1340 より前の macOS 版 Zoom Meeting SDK
  • バージョン 5.7.6.1081 より前の Windows 版 Zoom Meeting SDK
  • バージョン 1.1.2 より前の Zoom Video SDK(Android、iOS、macOS、Windows 向け)
  • バージョン 4.8.12.20211115 より前の Zoom オンプレミス ミーティング コネクタ コントローラ
  • バージョン 4.8.12.20211115 より前の Zoom オンプレミス ミーティング コネクタ MMR
  • バージョン 5.1.0.65.20211116 より前の Zoom オンプレミス レコーディング コネクタ
  • バージョン 4.4.7266.20211117 より前の Zoom オンプレミス バーチャル ルームコネクタ
  • バージョン 2.5.5692.20211117 より前の Zoom オンプレミス バーチャル ルームコネクタ ロードバランサ
  • バージョン 1.0.1058.20211116 より前の Zoom Hybrid Zproxy
  • バージョン 4.6.20211116.131_x86-64 より前の Zoom Hybrid MMR

情報元: 報告: Google Project Zero の Natalie Silvanovich 氏

ZSB-21018 11/09/2021 Windows 版 Keybase クライアントにおけるファイル名のパス トラバーサル CVE-2021-34422

重大度: 高

CVSS スコア: 7.2

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

説明: バージョン 5.7.0 より前の Windows 版 Keybase クライアントには、チームフォルダにアップロードされたファイル名を検証する際、パス トラバーサルの脆弱性が含まれています。 悪意のあるユーザーが、特別に細工されたファイル名を含めて共有フォルダにファイルをアップロードすると、ユーザーがホストマシン上で想定されていなかったアプリケーションを実行できるようになる可能性があります。 悪意のあるユーザーが Keybase クライアントの公開フォルダ共有機能でこの脆弱性を利用した場合、リモートコードが実行される可能性があります。

Keybase は、Windows 版 Keybase クライアント バージョン 5.7.0 のリリースでこの問題を解決しました。 ユーザーは、最新の更新プログラムを適用するか、https://keybase.io/download から最新のセキュリティ更新が適用された最新の Keybase ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.7.0 より前の Windows 版 Keybase クライアント

情報元: 報告: m4t35z

ZSB-21017 11/09/2021 Android / iOS 版 Keybase クライアントにおける削除不能の開封済みメッセージ CVE-2021-34421

重大度: 低

CVSS スコア: 3.7

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

説明: バージョン 5.8.0 より前の Android / iOS 版 Keybase クライアントでは、ユーザーが開封するメッセージの送信中に受信側のユーザーがチャット セッションをバックグラウンドに配置すると、ユーザーが開封したメッセージを適切に削除できなくなります。 これにより、お客様のデバイスから削除されるはずだった機密情報が漏洩する可能性があります。

Keybase は、Android / iOS 版 Keybase クライアント バージョン 5.8.0 のリリースでこの問題を解決しました。 ユーザーは、最新の更新プログラムを適用するか、https://keybase.io/download から最新のセキュリティ更新が適用された最新の Keybase ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.8.0 より前のすべての Android 版 Keybase クライアント
  • バージョン 5.8.0 より前のすべての iOS 版 Keybase クライアント

情報元: 報告: Olivia O'Hara 氏、John Jackson 氏、Jackson Henry 氏、Robert Willis 氏

ZSB-21016 11/09/2021 Windows 版 Zoom Client for Meetings におけるインストール実行ファイルの署名回避 標準 CVE-2021-34420

重大度: 標準

CVSS スコア: 4.7

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N

説明: バージョン 5.5.4 より前の Windows 版 Zoom Client for Meetings インストーラは、.msi、.ps1、.bat の拡張子を持つファイルの署名を適切に検証しません。 これにより、悪意のあるアクターがお客様のコンピュータに悪意のあるソフトウェアをインストールする可能性があります。

Zoom は、Windows 版 Zoom Client for Meetings バージョン 5.5.4 のリリースでこの問題を解決しました。 ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.5.4 より前のすべての Windows 版 Zoom Client for Meetings

情報元: 報告: ManoMano 社 Laurent Delosieres 氏

ZSB-21015 11/09/2021 Linux 版 Zoom Client for Meetings における HTML インジェクション CVE-2021-34419

重大度: 低

CVSS スコア: 3.7

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

説明: バージョン 5.1.0 より前の Ubuntu Linux 版 Zoom Client for Meetings には、ミーティング内の画面共有プロセスでユーザーにリモート コントロール リクエストを送信するときに HTML インジェクションの脆弱性が含まれています。 これにより、ミーティング参加者がソーシャル エンジニアリング攻撃の標的にされる可能性があります。

Zoom は、Ubuntu Linux 版 Zoom Client for Meetings バージョン 5.1.0 のリリースでこの問題を解決しました。 ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.1.0 より前の Ubuntu Linux 版 Zoom Client for Meetings

情報元: 報告: HackDefense 社 Danny de Weille 氏、Rick Verdoes 氏

ZSB-21014 11/09/2021 オンプレミスのウェブ コンソールにおける事前認証 Null ポインタによるクラッシュ 標準 CVE-2021-34418

重大度: 標準

CVSS スコア: 4.0

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

説明: このセキュリティ速報の「影響を受ける製品」セクションに記載された製品用のウェブ コンソールのサインイン サービスでは、認証中に NULL バイトが送信されたことを検証できません。 これにより、サインイン サービスがクラッシュする可能性があります。

影響を受けるプロダクト:

  • バージョン 4.6.239.20200613 より前の Zoom オンプレミス ミーティング コネクタ コントローラ
  • バージョン 4.6.239.20200613 より前の Zoom オンプレミス ミーティング コネクタ MMR
  • バージョン 3.8.42.20200905 より前の Zoom オンプレミス レコーディング コネクタ
  • バージョン 4.4.6344.20200612 より前の Zoom オンプレミス バーチャル ルームコネクタ
  • バージョン 2.5.5492.20200616 より前の Zoom オンプレミス バーチャル ルームコネクタ ロードバランサ

情報元: 報告: Jeremy Brown 氏

ZSB-21013 11/09/2021 MMR のウェブ コンソールを介した root 特権による認証済みリモート コマンドの実行 CVE-2021-34417

重大度: 高

CVSS スコア: 7.9

CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

説明: このセキュリティ速報の「影響を受ける製品」セクションに記載された製品用のウェブポータルにあるネットワーク プロキシページでは、ネットワーク プロキシ パスワードを設定するリクエストで送信される入力を検証できません。 これにより、ウェブポータル管理者によるリモート コマンド インジェクションが行われる可能性があります。

影響を受けるプロダクト:

  • バージョン 4.6.365.20210703 より前の Zoom オンプレミス ミーティング コネクタ コントローラ
  • バージョン 4.6.365.20210703 より前の Zoom オンプレミス ミーティング コネクタ MMR
  • バージョン 3.8.45.20210703 より前の Zoom オンプレミス レコーディング コネクタ
  • バージョン 4.4.6868.20210703 より前の Zoom オンプレミス バーチャル ルームコネクタ
  • バージョン 2.5.5496.20210703 より前の Zoom オンプレミス バーチャル ルームコネクタ ロードバランサ

情報元: 報告: Jeremy Brown 氏

ZSB-21012 09/30/2021 ウェブポータルを介したオンプレミス イメージに対するリモートコード実行 標準 CVE-2021-34416

重大度: 標準

CVSS スコア: 5.5

CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

説明: バージョン 4.6.360.20210325 より前の Zoom オンプレミス ミーティング コネクタのネットワーク アドレス管理設定ウェブポータル、バージョン 4.6.360.20210325 より前の Zoom オンプレミス ミーティング コネクタ MMR、バージョン 3.8.44.20210326 より前の Zoom オンプレミス レコーディング コネクタ、バージョン 4.4.6752.20210326 より前のオンプレミス仮想ルーム コネクタをズーム、およびバージョン 2.5.5495.20210326 より前の Zoom オンプレミス バーチャル ルームコネクタ、ネットワークの更新に送信された要求を検証できません。 構成を行うため、ウェブポータル管理者によるオンプレミス イメージへのリモート コマンド注入が可能になります。

影響を受けるプロダクト:

  • バージョン 4.6.360.20210325 より前の Zoom オンプレミス ミーティング コネクタ
  • バージョン 4.6.360.20210325 より前の Zoom オンプレミス ミーティング コネクタ MMR
  • バージョン 3.8.44.20210326 より前の Zoom オンプレミス レコーディング コネクタ
  • バージョン 4.4.6752.20210326 より前の Zoom オンプレミス バーチャル ルームコネクタ
  • バージョン 2.5.5495.20210326 より前の Zoom オンプレミス バーチャル ルームコネクタ ロードバランサ

情報元: 報告: Positive Technologies 社 Egor Dimitrenko 氏

ZSB-21011 09/30/2021 多くの割り当てを引き起こす PDU を使用した ZC でのクラッシュ CVE-2021-34415

重大度: 高

CVSS スコア: 7.5

CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

説明: バージョン 4.6.358.20210205 より前の Zoom オンプレミス ミーティング コネクタ コントローラのゾーン コントローラ サービスでは、受信ネットワーク パケットで送信される cnt フィールドを検証しないため、リソースが枯渇し、システムがクラッシュします。

影響を受けるプロダクト:

  • バージョン 4.6.358.20210205 より前の Zoom オンプレミス ミーティング コネクタ コントローラ

情報元: 報告: Positive Technologies 社 Nikita Abramov 氏

ZSB-21010 09/30/2021 ウェブポータルのネットワーク プロキシ設定を介したミーティング コネクタ サーバーに対するリモートコード実行 標準 CVE-2021-34414

重大度: 標準

CVSS スコア: 7.2

CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

説明: バージョン 4.6.348.20201217 より前の Zoom オンプレミス ミーティング コネクタ コントローラ、バージョン 4.6.348.20201217 より前の Zoom オンプレミス ミーティング コネクタ MMR、バージョン 3.8.42.20200905 より前の Zoom オンプレミス レコーディング コネクタ、バージョン 4.4.6620.20201110 より前の Zoom オンプレミス バーチャル ルームコネクタ、バージョン 2.5.5495.20210326 より前の Zoom オンプレミス バーチャル ルームコネクタ ロードバランサ向けウェブポータルにあるネットワーク プロキシページでは、ネットワークのプロキシ設定を更新するリクエストで送信される入力を検証できないため、ウェブポータル管理者によるオンプレミス イメージへのリモート コマンド インジェクションが行われる可能性があります。

影響を受けるプロダクト:

  • バージョン 4.6.348.20201217 より前の Zoom オンプレミス ミーティング コネクタ コントローラ
  • バージョン 4.6.348.20201217 より前の Zoom オンプレミス ミーティング コネクタ MMR
  • バージョン 3.8.42.20200905 より前の Zoom オンプレミス レコーディング コネクタ
  • バージョン 4.4.6620.20201110 より前の Zoom オンプレミス バーチャル ルームコネクタ
  • バージョン 2.5.5495.20210326 より前の Zoom オンプレミス バーチャル ルームコネクタ ロードバランサ

情報元: 報告: Positive Technologies 社 Egor Dimitrenko 氏

ZSB-21009 09/30/2021 macOS 版 Zoom Plugin for Microsoft Outlook インストーラにおけるローカル特権昇格 CVE-2021-34413

重大度: 低

CVSS スコア: 2.8

CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N

説明: バージョン 5.3.52553.0918 以前のすべての macOS 版 Zoom Plugin for Microsoft Outlook には、プラグインのインストール プロセス期間における Time-of-check Time-of-use(TOC / TOU)の脆弱性が存在します。 これにより、標準ユーザーが独自の悪意あるアプリケーションをプラグイン ディレクトリに書き込み、このアプリケーションを特権付きコンテキストで実行できるようになる可能性があります。

影響を受けるプロダクト:

  • バージョン 5.3.52553.0918 以前のすべての macOS 版 Zoom Plugin for Microsoft Outlook

情報元: 報告: Lockheed Martin 社 Red チーム

ZSB-21008 09/30/2021 Windows 版 Zoom Client for Meetings インストーラにおけるローカル特権昇格 標準 CVE-2021-34412

重大度: 標準

CVSS スコア: 4.4

CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

説明: バージョン 5.4.0 より前のすべての Windows 版 Zoom Client for Meetings のインストール プロセス中、Internet Explorer を起動することができます。 SCCM などの特権昇格によってインストーラが起動した場合、ローカル特権昇格も発生する可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.4.0 より前の Windows 版 Zoom Client for Meetings

情報元: 報告: Lockheed Martin 社 Red チーム

ZSB-21007 09/30/2021 Zoom Rooms for Conference Room インストーラにおけるローカル特権昇格 標準 CVE-2021-34411

重大度: 標準

CVSS スコア: 4.4

CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

説明: バージョン 5.3.0 より前の Windows 版 Zoom Rooms for Conference Room のインストール プロセス中、特権昇格で Internet Explorer を起動することができます。 SCCM などの特権昇格によってインストーラが起動した場合、ローカル特権昇格も発生する可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.3.0 より前の Windows 版 Zoom Rooms for Conference Room
  • バージョン 5.1.0 より前の Zoom Rooms for Conference Room

情報元: 報告: Lockheed Martin 社 Red チーム

ZSB-21004 09/30/2021 Zoom MSI インストーラにおけるジャンクションを使用した書き込み特権昇格 CVE-2021-34408

重大度: 高

CVSS スコア: 7.0

CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

説明: バージョン 5.3.2 より前の Windows 版 Zoom Client for Meetings のインストール中に作成されたユーザー書き込み可能なディレクトリは、ジャンクションを使用して別の場所にリダイレクトできます。 これにより、攻撃者は限定ユーザーしか変更できないファイルを上書きできるようになります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.3.2 より前の Windows 版 Zoom Client for Meetings

情報元: 報告: Lockheed Martin 社 Red チーム

ZSB-21003 09/30/2021 Windows 版 Zoom Client for Meetings インストーラにおけるデジタル署名の回避 CVE-2021-33907

重大度: 高

CVSS スコア: 7.0

CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H

説明: バージョン 5.3.0 より前のすべての Windows 版 Zoom Client for Meetings では、クライアントを更新するときに .msi ファイルへの署名に使用される証明書情報が適切に検証されません。 これにより、昇格した特権付きコンテキストでリモートコードが実行される可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.3.0 より前のすべての Windows 版 Zoom Client for Meetings

情報元: 報告: Lockheed Martin 社 Red チーム

ZSB-21002 08/23/2023 XMPP メッセージからの未検証の書き換えによる静的バッファーのヒープ オーバーフロー CVE-2021-30480

重大度: 高

CVSS スコア: 8.1

CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H

説明: ヒープ領域のバッファー オーバーフローは、5.6.3 以前の Zoom Client for Meetings のすべてのデスクトップ バージョンで起こる可能性があります。 この問題は、2021 Pwn20wn Vancouver の一環として Zoom に報告されたものです。 Pwn20wn の期間中に示された攻撃チェーンは、Zoom が 2021 年 4 月 9 日に実施したインフラストラクチャのサーバー側の変更で緩和されました。

Pwn20wn 期間中、Zoom マーケットプレイス アプリの URL にアクセスするための XMPP メッセージを送信する際の不適切な URL 検証と、GIPHY 画像を表示する不正な URL 検証という他の 2 つの問題が報告されました。これらを組み合わせると、悪意あるユーザーはターゲットとするコンピュータでリモートコードを実行することができます。
この攻撃は、ターゲットが悪意のあるユーザーからの接続要求を事前に受け入れるか、悪意のあるユーザーとのマルチユーザー チャットに参加していないと、成功しません。 Pwn20wn で示された攻撃チェーンは、ターゲットに対する視認性が高く、複数のクライアント通知が発生します。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • 5.6.3 以前の Zoom Client for Meetings のすべてのデスクトップ バージョン

情報元: Zero Day Initiative を通した Computest の Daan Keuper 氏と Thijs Alkemade 氏による報告

ZSB-21001 03/26/2021 アプリケーション ウィンドウの画面共有機能 標準 CVE-2021-28133

重大度: 標準

CVSS スコア: 5.7

CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

説明: 個々のアプリケーション ウィンドウを共有する際に、脆弱性が Windows と Linux 版クライアントの画面共有機能に影響を及ぼし、画面共有中のユーザーが明示的に共有していないアプリケーション画面の内容が、他のウィンドウを最小化、最大化、または閉じる際に、短時間他のミーティング参加者に見られる可能性があります。

Zoom は Windows ユーザー向けに、この問題が発生する可能性を低減する Windows 版 Zoom クライアント バージョン 5.6 でいくつかの新しいセキュリティ軽減策を導入しました。 弊社は、影響を受けるすべてのプラットフォームでこの問題を解決するために、引き続き追加措置を講じるよう取り組んでいます。

Zoom はまた、Linux 版 Zoom クライアント バージョン 5.5.4 で、2021 年 3 月 1 日に Ubuntu ユーザーに生じた問題を解決しました。 ユーザーは、最新の更新プログラムを適用したり、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードできます。

影響を受けるプロダクト:

  • Windows 版 Zoom クライアントの全バージョン
  • Ubuntu 上の Linux 版 Zoom クライアント バージョン 5.5.4 以前
  • サポートされている他の配信のすべての Linux 版クライアント バージョン

情報元: Michael Stramez 氏と Matthias Deeg 氏が発見しました。

ZSB-20002 08/14/2020 Zoom Sharing Service における Windows DLL CVE-2020-9767

重大度: 高

CVSS スコア: 7.8

CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

説明: Zoom Sharing Service に読み込まれるダイナミック リンク ライブラリ(「DLL」)に関連する脆弱性により、Windows のローカル ユーザーが NT AUTHORITY/SYSTEM ユーザーの特権を昇格させることができる可能性があります。

この脆弱性は、署名付き実行可能ファイルを読み込む際に動的に読み込まれる DLL の署名チェックが不十分であることに起因します。 攻撃者はこの脆弱性を悪用して、署名済みの Zoom の実行可能ファイルに悪意のある DLL を挿入し、それを使用して昇格された権限によりプロセスを起動する可能性があります。

Zoom は、クライアントのバージョン 5.0.4 のリリースによりこの問題を解決しました。 ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 5.0.4 以前の Windows 版 Zoom インストーラー(ZoomInstallerFull.msi)

情報元: Context Information Security 社の Connor Scott 氏

ZSB-20001 05/04/2020 Windows 版 Zoom IT インストーラー CVE-2020-11443

重大度: 高

CVSS スコア: 基本: 8.4

CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:Hs

説明: Windows 版 Zoom のインストーラーがファイルを削除する際のジャンクションの処理方法に脆弱性があり、Windows のローカル ユーザーが、通常ユーザーが削除できないファイルを削除できる可能性があります。

この脆弱性は、インストーラーがファイルを削除するディレクトリ内のジャンクションのチェックが不十分であることに起因しており、標準ユーザーによる書き込みが可能になっています。 悪意あるローカル ユーザーが、保護されたシステム ファイルまたはユーザーが権限を持たない他のファイルに向くディレクトリにジャンクションを作成することにより、この脆弱性を悪用する可能性があります。 昇格された権限で Windows 版 Zoom インストーラーを実行すると、管理された展開ソフトウェアを使用して実行される場合と同様に、それらのファイルはシステムから削除されます。

Zoom は、クライアントのバージョン 4.6.10 のリリースでこの問題を解決しました。 ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 4.6.10 以前の Windows 版 Zoom インストーラー(ZoomInstallerFull.msi)

情報元: Lockheed Martin Red Team に感謝申し上げます。

ZSB-19003 07/12/2019 ZoomOpener デーモン CVE-2019-13567

重大度: 高

CVSS スコア: 基本: 7.5

CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

説明: macOS 版 Zoom クライアントの脆弱性により、攻撃者は悪意のあるソフトウェアを被害者のデバイスにダウンロードできる可能性があります。

この脆弱性は、ZoomOpener ヘルパー アプリケーションでの不適切な入力検証とダウンロードしたソフトウェアの検証に起因しています。 攻撃者はこの脆弱性を悪用して、被害者のデバイスに対して、攻撃者の代わりにファイルをダウンロードするよう促す可能性があります。 被害者がこれまでに Zoom クライアントをアンインストールした場合にのみ悪用可能です。

Zoom は、クライアントのバージョン 4.4.52595.0425 のリリースでこの問題を解決しました。 ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 4.4.52595.0425 以前およびバージョン 4.1.27507.0627 以降の macOS 版 Zoom クライアント

情報元: 不明。

ZSB-19002 07/09/2019 デフォルトのビデオ設定 CVE-2019-13450

重大度: 低

CVSS スコア: 基本: 3.1

CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

説明: macOS 版 Zoom および RingCentral クライアントの脆弱性により、リモートの未認証の攻撃者が、ビデオカメラを有効にした状態でユーザーをビデオ通話に参加させる可能性があります。

この脆弱性は、ポート 19421 で実行されているローカルの Zoom ウェブサーバーと通信する可能性があるシステムを確認するための認証コントロールが不十分であることに起因しています。 攻撃者はこの脆弱性を悪用して、自身が設定したミーティングに Zoom クライアントを自動的に参加させる悪意のあるウェブサイトを作成する可能性があります。

Zoom は、2019 年 7 月 14 日に公開されたクライアントのバージョン 4.4.5 において、ミーティングに参加する前にユーザーに表示する新しいビデオ プレビュー ダイアログを実装しました。 このダイアログでは、ユーザーがビデオを有効にするか、または有効にしなくてもミーティングに参加できるようにし、ユーザーは希望するビデオの既定の動作を設定する必要があります。 Zoom は、最新の Zoom クライアントがリリースされた場合、https://zoom.us/download からインストールするようお客様に推奨しています。

影響を受けるプロダクト:

  • バージョン 4.4.5 以前の macOS 版 Zoom クライアント
  • バージョン 4.4.5 以前の macOS 版 RingCentral クライアント

情報元: Jonathan Leitschuh 氏が発見しました。

ZSB-19001 07/09/2019 DoS 攻撃 - macOS CVE-2019-13449

重大度: 低

CVSS スコア: 基本: 3.1

CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

説明: macOS 版 Zoom クライアントの脆弱性により、リモートの未認証の攻撃者が、被害者のシステムで DoS 攻撃を行う可能性があります。

この脆弱性は、ポート 19421 で実行されているローカルの Zoom ウェブサーバーと通信する可能性があるシステムを確認するための認証コントロールが不十分であることに起因しています。 攻撃者はこの脆弱性を悪用して、Zoom クライアントを無効なミーティング ID を持つミーティングに繰り返し参加させる悪意のあるウェブサイトを作成する可能性があります。 無限ループにより Zoom クライアントは動作不能になり、実行されるシステムのパフォーマンスに影響を与える可能性があります。

この問題に対処するために、Zoom は、2019 年 4 月 28 日に macOS 版クライアントのバージョン 4.4.2 のホットフィックスをリリースしました。 ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

  • バージョン 4.4.5 以前の macOS 版 Zoom クライアント
  • バージョン 4.4.5 以前の macOS 版 RingCentral クライアント

情報元: Jonathan Leitschuh 氏が発見しました。

No results found

個人用メールアドレスをご登録いただくと、今後の Zoom セキュリティ速報に関する通知を受信できます。 (注: メールのエイリアスはこれらの通知を受信しません)