セキュリティ速報
セキュリティ速報
Zoom では、Zoom セキュリティ速報による通知に伴い、個人のお客様に脆弱性の影響に関するガイドを提供していません。また、脆弱性に関する追加の詳細情報も提供していません。 ユーザーの皆様には、最新バージョンの Zoom ソフトウェアに更新して、最新版の修正やセキュリティ改善をご利用いただくことを推奨しています。
| ZSB | 日付 | タイトル | 重大度 | CVE(該当する場合) | |
|---|---|---|---|---|---|
|
|
ZSB-23041 | 08/08/2023 | Windows 版 Zoom デスクトップ クライアント - 不適切な入力認証 | 中 | CVE-2023-39209 |
|
重大度: Medium CVSS スコア: 5.9 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
説明: バージョン 5.15.5 より前の Windows 版 Zoom デスクトップ クライアントにおける不適切な入力認証により、認証済みユーザーによるネットワーク アクセス経由での情報開示が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: Zoom 攻撃セキュリティ チーム |
|||||
|
|
ZSB-23039 | 08/08/2023 | Zoom クライアント SDK - 機密情報の漏えい | 高 | CVE-2023-39214 |
|
重大度: High CVSS スコア: 7.6 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H
説明: バージョン 5.15.5 より前の Zoom クライアント SDK における機密情報の公開により、認証済みユーザーによるネットワーク アクセス経由でのサービス拒否攻撃が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: Zoom 攻撃セキュリティ チーム |
|||||
|
|
ZSB-23038 | 08/08/2023 | Windows 版 Zoom デスクトップ クライアントおよび Zoom VDI クライアント - 特殊要素の不適切な無効化 | 重大 | CVE-2023-39213 |
|
重大度: Critical CVSS スコア: 9.6 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
説明: バージョン 5.15.2 より前の Windows 版 Zoom デスクトップ クライアントおよび Zoom VDI クライアントにおける特殊要素の不適切な無効化により、認証されていないユーザーによるネットワーク アクセス経由での特権昇格が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: Zoom 攻撃セキュリティ チーム |
|||||
|
|
ZSB-23037 | 08/08/2023 | Windows 版 Zoom Rooms - 信頼性のない検索パス | 高 | CVE-2023-39212 |
|
重大度: High CVSS スコア: 7.9 CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H
説明: バージョン 5.15.5 より前の Windows 版 Zoom Rooms における信頼性のない検索パスにより、認証済みユーザーによるローカル アクセス経由でのサービス拒否攻撃が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: sim0nsecurity |
|||||
|
|
ZSB-23036 | 08/08/2023 | Windows 版 Zoom デスクトップ クライアントおよび Windows 版 Zoom Rooms - 不適切な特権管理 | 高 | CVE-2023-39211 |
|
重大度: High CVSS スコア: 8.8 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
説明: バージョン 5.15.5 より前の Windows 版 Zoom デスクトップ クライアントおよび Windows 版 Zoom Rooms における不適切な特権管理により、認証済みユーザーによるローカル アクセス経由での情報開示が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: sim0nsecurity |
|||||
|
|
ZSB-23035 | 08/08/2023 | Windows 版 Zoom クライアント SDK - 機密情報の平文保存 | 中 | CVE-2023-39210 |
|
重大度: Medium CVSS スコア: 5.5 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
説明: バージョン 5.15.0 より前の Windows 版 Zoom クライアント SDK における機密情報の平文保存により、認証済みユーザーによるローカル アクセス経由での情報開示が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: sim0nsecurity |
|||||
|
|
ZSB-23034 | 08/08/2023 | Zoom クライアント - サーバー側セキュリティのクライアント側での適用 | 中 | CVE-2023-39218 |
|
重大度: Medium CVSS スコア: 6.5 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
説明: バージョン 5.14.10 より前の Zoom クライアントにおいて、サーバー側セキュリティがクライアント側で適用されることにより、特権付きユーザーによるネットワーク アクセス経由での情報開示が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: Zoom 攻撃セキュリティ チーム |
|||||
|
|
ZSB-23033 | 08/08/2023 | Zoom SDK - 不適切な入力認証 | 標準 | CVE-2023-39217 |
|
重大度: 標準 CVSS スコア: 5.3 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
説明: バージョン 5.14.10 より前の Zoom SDK における不適切な入力認証により、認証されていないユーザーによるネットワーク アクセス経由でのサービス拒否攻撃が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: Zoom 攻撃セキュリティ チーム |
|||||
|
|
ZSB-23032 | 08/08/2023 | Windows 版 Zoom デスクトップ クライアント - 不適切な入力認証 | 重大 | CVE-2023-39216 |
|
重大度: 重大 CVSS スコア: 9.6 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
説明: バージョン 5.14.7 より前の Windows 版 Zoom デスクトップ クライアントにおける不適切な入力認証により、認証されていないユーザーによるネットワーク アクセス経由での特権昇格が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: Zoom 攻撃セキュリティ チーム |
|||||
|
|
ZSB-23031 | 08/08/2023 | Zoom クライアント - サーバー側セキュリティのクライアント側での適用 | 高 | CVE-2023-36535 |
|
重大度: 高 CVSS スコア: 7.1 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L
説明: バージョン 5.14.10 より前の Zoom クライアントにおいて、サーバー側セキュリティがクライアント側で適用されることにより、認証済みユーザーによるネットワーク アクセス経由での情報開示が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: Zoom 攻撃セキュリティ チーム |
|||||
|
|
ZSB-23030 | 08/08/2023 | Windows 版 Zoom デスクトップ クライアント - パス トラバーサル | 重大 | CVE-2023-36534 |
|
重大度: 重大 CVSS スコア: 9.3 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H
説明: バージョン 5.14.7 より前の Windows 版 Zoom デスクトップ クライアントにおけるパス トラバーサルにより、認証されていないユーザーによるネットワーク アクセス経由での特権昇格が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: Zoom 攻撃セキュリティ チーム |
|||||
|
|
ZSB-23029 | 08/08/2023 | Zoom SDK - 制御不能なリソースの消費 | 高 | CVE-2023-36533 |
|
重大度: 高 CVSS スコア: 7.1 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H
説明: バージョン 5.14.7 より前の Zoom SDK における制御不能なリソースの消費により、認証されていないユーザーによるネットワーク アクセス経由でのサービス拒否攻撃が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: Zoom 攻撃セキュリティ チーム |
|||||
|
|
ZSB-23028 | 08/08/2023 | Zoom クライアント - バッファ オーバーフロー | 標準 | CVE-2023-36532 |
|
重大度: 標準 CVSS スコア: 5.9 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
説明: バージョン 5.14.5 より前の Zoom クライアントにおけるバッファ オーバーフローにより、認証されていないユーザーによるネットワーク アクセス経由でのサービス拒否攻撃が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: Zoom 攻撃セキュリティ チーム |
|||||
|
|
ZSB-23027 | 08/08/2023 | Windows 版 Zoom デスクトップ クライアント - データ信頼性の不十分な認証 | 高 | CVE-2023-36541 |
|
重大度: 高 CVSS スコア: 8 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
説明: バージョン 5.14.5 より前の Windows 版 Zoom デスクトップ クライアントにおけるデータ信頼性の不十分な認証により、認証済みユーザーによるネットワーク アクセス経由での特権昇格が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: sim0nsecurity |
|||||
|
|
ZSB-23026 | 08/08/2023 | Windows 版 Zoom デスクトップ クライアント - 信頼性のない検索パス | 高 | CVE-2023-36540 |
|
重大度: 高 CVSS スコア: 7.3 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
説明: バージョン 5.14.5 より前の Windows 版 Zoom デスクトップ クライアント向けインストーラにおける信頼性のない検索パスにより、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: sim0nsecurity |
|||||
|
|
ZSB-23024 | 07/11/2023 | 不適切なアクセス コントロール | 高 | CVE-2023-36538 |
|
重大度: 高 CVSS スコア: 8.4 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H
説明: バージョン 5.15.0 より前の Windows 版 Zoom Rooms における不適切なアクセス コントロールにより、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: sim0nsecurity |
|||||
|
|
ZSB-23023 | 07/11/2023 | 不適切な特権管理 | 高 | CVE-2023-36537 |
|
重大度: 高 CVSS スコア: 7.3 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
説明: バージョン 5.14.5 より前の Windows 版 Zoom Rooms における不適切な特権管理により、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: sim0nsecurity |
|||||
|
|
ZSB-23022 | 07/11/2023 | 信頼性のない検索パス | 高 | CVE-2023-36536 |
|
重大度: 高 CVSS スコア: 8.2 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
説明: バージョン 5.15.0 より前の Windows 版 Zoom Rooms 向けインストーラにおける信頼性のない検索パスにより、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: sim0nsecurity |
|||||
|
|
ZSB-23021 | 07/11/2023 | セキュリティ保護されていない一時ファイル | 高 | CVE-2023-34119 |
|
重大度: 高 CVSS スコア: 8.2 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
説明: バージョン 5.15.0 より前の Windows 版 Zoom Rooms 向けインストーラにおけるセキュリティ保護されていない一時ファイルにより、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: sim0nsecurity |
|||||
|
|
ZSB-23020 | 07/11/2023 | 不適切な特権管理 | 高 | CVE-2023-34118 |
|
重大度: 高 CVSS スコア: 7.3 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
説明: バージョン 5.14.5 より前の Windows 版 Zoom Rooms における不適切な特権管理により、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: sim0nsecurity |
|||||
|
|
ZSB-23019 | 07/11/2023 | 相対パス トラバーサル | 低 | CVE-2023-34117 |
|
重大度: 低 CVSS スコア: 3.3 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
説明: バージョン 5.15.0 より前の Zoom クライアント SDK における相対パス トラバーサルにより、承認されていないユーザーによるローカル アクセス経由での情報公開が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: Dimitrios Valsamaras 氏(Microsoft) |
|||||
|
|
ZSB-23018 | 07/11/2023 | 不適切な入力検証 | 高 | CVE-2023-34116 |
|
重大度: 高 CVSS スコア: 8.2 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:H
説明: バージョン 5.15.0 より前の Windows 版 Zoom デスクトップ クライアントにおける不適切な入力認証により、承認されていないユーザーによるネットワーク アクセス経由での特権昇格が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: sim0nsecurity |
|||||
|
|
ZSB-23025 | 06/29/2023 | 機密情報の漏えい | 標準 | CVE-2023-36539 |
|
重大度: 標準 CVSS スコア: 5.3 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
説明: 一部の Zoom クライアントによって暗号化される予定の情報が漏えいすると、機密情報の漏えいにつながる可能性があります。 影響を受けるプロダクト:
情報元: 報告: Zoom 攻撃セキュリティ チーム |
|||||
|
|
ZSB-23017 | 06/13/2023 | 入力サイズチェックなしのバッファコピー | 標準 | CVE-2023-34115 |
|
重大度: 標準 CVSS スコア: 4.0 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
説明: バージョン 5.13.0 より前の Zoom Meeting SDK における入力サイズチェックなしのバッファコピーにより、認証済みユーザーによるローカル アクセス経由でのサービス妨害が可能になるおそれがあります。 この問題により、Zoom Meeting SDK がクラッシュし、再起動が必要になることがあります。 影響を受けるプロダクト:
情報元: 報告: Eugene Lim 氏 |
|||||
|
|
ZSB-23016 | 06/13/2023 | 誤った領域へのリソース漏洩 | 標準 | CVE-2023-34114 |
|
重大度: 標準 CVSS スコア: 4.3 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N
説明: バージョン 5.14.10 より前の Zoom for Windows クライアントおよび Zoom for macOS クライアントにおける誤った領域へのリソース漏洩により、認証済みユーザーによるネットワーク アクセス経由での情報漏洩が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: Siddhi Katariya 氏(chikorita) |
|||||
|
|
ZSB-23015 | 06/13/2023 | データ信頼性の不十分な認証 | 高 | CVE-2023-34113 |
|
重大度: 高 CVSS スコア: 8 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
説明: バージョン 5.14.0 より前の Zoom for Windows クライアントにおけるデータ信頼性の不十分な認証により、認証済みユーザーによるネットワーク アクセス経由での特権昇格が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: sim0nsecurity |
|||||
|
|
ZSB-23014 | 06/13/2023 | 不適切な入力検証 | 高 | CVE-2023-34122 |
|
重大度: 高 CVSS スコア: 7.3 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L
説明: バージョン 5.14.0 より前の Zoom for Windows クライアントにおけるインストーラでの不適切な入力検証により、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: sim0nsecurity |
|||||
|
|
ZSB-23013 | 06/13/2023 | 不適切な入力検証 | 標準 | CVE-2023-34121 |
|
重大度: 標準 CVSS スコア: 4.9 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N
説明: バージョン 5.14.0 より前の Zoom for Windows、Zoom Rooms、Windows VDI 版 Zoom Meeting の各クライアントにおける不適切な入力検証により、認証済みユーザーによるネットワーク アクセス経由での特権昇格が可能になるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: ASPIA InfoTech、Mohit Rawat 氏 |
|||||
|
|
ZSB-23012 | 06/13/2023 | 不適切な特権管理 | 高 | CVE-2023-34120 |
|
重大度: 高 CVSS スコア: 8.7 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
説明: バージョン 5.14.0 より前の Zoom for Windows、Windows 版 Zoom Rooms、Windows VDI 版 Zoom の各クライアントにおける不適切な特権管理により、認証済みユーザーによるローカル アクセス経由での特権昇格が可能になるおそれがあります。 ユーザーは Zoom クライアントが維持する高レベルのシステム特権を利用して、昇格済みの特権でプロセスを実行してしまう可能性があります。 影響を受けるプロダクト:
情報元: 報告: sim0nsecurity |
|||||
|
|
ZSB-23011 | 06/13/2023 | Zoom VDI クライアント インストーラでの不適切なアクセス コントロール | 高 | CVE-2023-28603 |
|
重大度: 高 CVSS スコア: 7.7 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:L
説明: バージョン 5.14.0 より前の Zoom VDI クライアント インストーラには、不適切なアクセス コントロールの脆弱性が含まれています。 悪意のあるユーザーが適切な権限なしでローカル ファイルを削除してしまうおそれがあります。 影響を受けるプロダクト:
情報元: 報告: sim0nsecurity |
|||||
|
|
ZSB-23010 | 06/13/2023 | Zoom クライアントにおける暗号署名の不適切な認証 | 低 | CVE-2023-28602 |
|
重大度: 低 CVSS スコア: 2.8 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N
説明: バージョン 5.13.5 より前の Zoom for Windows クライアントには、暗号署名の不適切な認証に関する脆弱性が含まれています。 悪意のあるユーザーが Zoom クライアント コンポーネントを以前のバージョンにダウングレードしてしまうおそれがあります。 影響を受けるプロダクト:
情報元: 報告: Kirin 氏(Pwnrin) |
|||||
|
|
ZSB-23009 | 06/13/2023 | Zoom クライアントにおけるメモリバッファ範囲内での不適切なオペレーション制限 | 低 | CVE-2023-28601 |
|
重大度: 低 CVSS スコア: 2 CVSS ベクトル文字列: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
説明: バージョン 5.14.0 より前の Zoom for Windows クライアントには、メモリバッファ範囲内での不適切なオペレーション制限に関する脆弱性が含まれています。 悪意のあるユーザーは、保護された Zoom クライアントのメモリバッファを変更して、Zoom クライアント内で整合性の問題を引き起こすおそれがあります。 影響を受けるプロダクト:
情報元: 報告: sim0nsecurity |
|||||
|
|
ZSB-23008 | 06/13/2023 | Zoom クライアントにおける不適切なアクセス コントロール | 標準 | CVE-2023-28600 |
|
重大度: 標準 CVSS スコア: 6.6 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:L
説明: バージョン 5.14.0 より前の Zoom for macOS クライアントには、不適切なアクセス コントロールの脆弱性が含まれています。 悪意のあるユーザーは、Zoom クライアントのファイルを削除 / 置換して、Zoom クライアントに対する整合性および可用性の欠陥を引き起こすおそれがあります。 影響を受けるプロダクト:
情報元: 報告: Koh M. Nakagawa 氏(@tsunek0h) |
|||||
|
|
ZSB-23007 | 06/13/2023 | Zoom クライアントにおける HTML インジェクションの脆弱性 | 標準 | CVE-2023-28599 |
|
重大度: 標準 CVSS スコア: 4.2 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N
説明: バージョン 5.13.10 より前の Zoom クライアントには、HTML インジェクションの脆弱性が含まれています。 悪意のあるユーザーは、HTML を表示名に挿入して、ミーティング作成中に被害者を有害なウェブサイトに誘導してしまうおそれがあります。 影響を受けるプロダクト:
情報元: 報告: ASPIA InfoTech、Mohit Rawat 氏 |
|||||
|
|
ZSB-23006 | 06/13/2023 | Linux 版 Zoom クライアントにおける HTML インジェクション | 高 | CVE-2023-28598 |
|
重大度: 高 CVSS スコア: 7.5 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
説明: バージョン 5.13.10 より前の Linux 版 Zoom クライアントには、HTML インジェクションの脆弱性が含まれています。 被害者が悪意のあるユーザーとのチャットを開始すると、Zoom アプリケーションがクラッシュしてしまうおそれがあります。 影響を受けるプロダクト:
情報元: 報告: Antoine Roly 氏(aroly) |
|||||
|
|
ZSB-23005 | 03/14/2023 | Zoom クライアントでの SMB に対する不適切な信頼境界線の実装 [Updated 2023-04-07] | 高 | CVE-2023-28597 |
|
重大度: 高 CVSS スコア: 8.3 CVSS ベクトル文字列: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
説明: バージョン 5.13.5 より前の Zoom クライアントに不適切な信頼境界線実装の脆弱性が含まれています。 被害者がローカル レコーディングを SMB の場所に保存し、その後 Zoom ウェブポータルからリンクを使用して開くと、被害者のクライアントに隣接するネットワーク上にいる攻撃者が悪意のある SMB サーバーを設定してクライアントのリクエストに応答し、クライアントは攻撃者が制御する実行可能ファイルを実行する可能性があります。 これにより攻撃者がユーザーのデバイスとデータにアクセスし、リモートでコードを実行する可能性があります。 影響を受けるプロダクト:
情報元: 報告: Zoom 攻撃セキュリティ チーム |
|||||
|
|
ZSB-23004 | 03/14/2023 | Zoom for macOS インストーラにおけるローカル特権昇格 | 標準 | CVE-2023-28596 |
|
重大度: 標準 CVSS スコア: 5.2 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L
説明: バージョン 5.13.5 より前の IT 管理者向け macOS 版 Zoom クライアント インストーラにローカル特権昇格の脆弱性が含まれています。 特権の少ないローカル ユーザーは、インストール プロセス中に攻撃チェーンでこの脆弱性を利用して自身の特権をルートへの特権に昇格させる可能性があります。 影響を受けるプロダクト:
情報元: 報告: Koh M. Nakagawa 氏(tsunekoh) |
|||||
|
|
ZSB-23003 | 03/14/2023 | Zoom for Windows インストーラにおけるローカル特権昇格 | 高 | CVE-2023-22883 |
|
重大度: 高 CVSS スコア: 7.2 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:H
説明: バージョン 5.13.5 より前の IT 管理者向け Windows 版 Zoom クライアント インストーラにローカル特権昇格の脆弱性が含まれています。 特権の少ないローカル ユーザーは、インストール プロセス中に攻撃チェーンでこの脆弱性を利用して自身の特権をシステム ユーザーに昇格させる可能性があります。 影響を受けるプロダクト:
情報元: 報告: sim0nsecurity |
|||||
|
|
ZSB-23002 | 03/14/2023 | Zoom クライアントにおけるサービス妨害(DoS) | 標準 |
CVE-2023-22881 CVE-2023-22882 |
|
重大度: 標準 CVSS スコア: 6.5 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
説明: バージョン 5.13.5 より前の Zoom クライアントに STUN 解析の脆弱性が含まれています。 悪意のあるアクターが、特別に細工された UDP トラフィックを被害者の Zoom クライアントに送信すると、リモートでクライアントをクラッシュさせてサービス拒否を引き起こす可能性があります。 影響を受けるプロダクト:
情報元: 報告: Zoom 攻撃セキュリティ チーム |
|||||
|
|
ZSB-23001 | 03/14/2023 | Zoom for Windows クライアントにおける情報開示 | 標準 | CVE-2023-22880 |
|
重大度: 標準 CVSS スコア: 6.8 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N
説明: バージョン 5.13.3 より前の Zoom for Windows クライアント、バージョン 5.13.5 より前の Windows 版 Zoom Rooms クライアント、バージョン 5.13.1 より前の Windows VDI 版 Zoom クライアントに情報開示の脆弱性が含まれています。 影響を受けている Zoom クライアントで使用されている Microsoft Edge WebView2 ランタイムの最新の更新では、ローカルの Windows Spellcheck ではなく、Microsoft のオンライン スペルチェック サービスにテキストが送信されました。 Zoom の更新でこの機能を無効にすることにより、この脆弱性を修復します。 Microsoft Edge WebView2 ランタイムをバージョン 109.0.1481.0 以降に更新して Zoom を再起動することにより、Microsoft の遠隔測定動作が更新され、この脆弱性が修復されます。 影響を受けるプロダクト:
情報元: 報告: Zoom セキュリティ チーム |
|||||
|
|
ZSB-22035 | 01/06/2023 | Windows 版 Zoom Rooms インストーラにおけるローカル特権昇格 | 高 | CVE-2022-36930 |
|
重大度: 高 CVSS スコア: 8.2 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
説明: バージョン 5.13.0 より前の Windows 版 Zoom Rooms インストーラにローカル特権昇格の脆弱性が含まれています。 特権の少ないローカル ユーザーは、攻撃チェーンでこの脆弱性を利用し、自身の特権をシステム ユーザーに昇格させる可能性があります。 影響を受けるプロダクト:
情報元: 報告: sim0nsecurity |
|||||
|
|
ZSB-22034 | 01/06/2023 | Windows 版 Zoom Rooms クライアントにおけるローカル特権昇格 | 高 | CVE-2022-36929 |
|
重大度: 高 CVSS スコア: 7.8 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
説明: バージョン 5.12.7 より前の Windows 版 Zoom Rooms クライアントにローカル特権昇格の脆弱性が含まれています。 特権の少ないローカル ユーザーは、攻撃チェーンでこの脆弱性を利用し、自身の特権をシステム ユーザーに昇格させる可能性があります。 影響を受けるプロダクト:
情報元: 報告: sim0nsecurity |
|||||
|
|
ZSB-22033 | 01/06/2023 | Zoom for Android クライアントにおけるパス トラバーサル | 標準 | CVE-2022-36928 |
|
重大度: 標準 CVSS スコア: 6.1 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
説明: バージョン 5.13.0 より前の Zoom for Android クライアントにパス トラバーサルの脆弱性が含まれています。 サードパーティ アプリがこの脆弱性を利用して Zoom アプリケーションのデータ ディレクトリの読み取りと書き込みをする可能性があります。 影響を受けるプロダクト:
情報元: 報告: Dimitrios Valsamaras 氏(Microsoft) |
|||||
|
|
ZSB-22032 | 01/06/2023 | macOS 版 Zoom Rooms クライアントにおけるローカル特権昇格 | 高 |
CVE-2022-36926 CVE-2022-36927 |
|
重大度: 高 CVSS スコア: 8.8 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
説明: バージョン 5.11.3 より前の macOS 版 Zoom Rooms クライアントにローカル特権昇格の脆弱性が含まれています。 特権の少ないローカル ユーザーは、この脆弱性を利用して自身の特権をルートに昇格させる可能性があります。 影響を受けるプロダクト:
情報元: 報告: Kirin 氏(Pwnrin) |
|||||
|
|
ZSB-22031 | 01/06/2023 | macOS 版 Zoom Rooms クライアントにおけるセキュリティ保護されていないキーの生成 | 標準 | CVE-2022-36925 |
|
重大度: 標準 CVSS スコア: 4.4 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
説明: バージョン 5.11.4 より前の macOS 版 Zoom Rooms クライアントにセキュリティ保護されていないキー生成のメカニズムが含まれています。 Zoom Rooms デーモン サービスと Zoom Rooms クライアント間の IPC に使用される暗号化キーが、特権の少ないローカル アプリケーションによって取得された可能性のあるパラメータを使用して生成されました。 その後このキーを使用してデーモン サービスと対話し、特権関数を実行してローカルのサービス拒否を引き起こす可能性があります。 影響を受けるプロダクト:
情報元: 報告: Kirin 氏(Pwnrin) |
|||||
|
|
ZSB-22030 | 11/15/2022 | Windows 版 Zoom Rooms インストーラにおけるローカル特権昇格 | 高 | CVE-2022-36924 |
|
重大度: 高 CVSS スコア: 8.8 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
説明: バージョン 5.12.6 より前の Windows 版 Zoom Rooms インストーラには、ローカル特権昇格の脆弱性が含まれています。 特権の少ないローカル ユーザーは、インストール プロセスでこの脆弱性を利用して自身の特権をシステム ユーザーに昇格させる可能性があります。 影響を受けるプロダクト:
情報元: 報告: sim0nsecurity |
|||||
|
|
ZSB-22029 | 11/15/2022 | macOS 版 Zoom クライアント インストーラにおけるローカル特権昇格 | 高 | CVE-2022-28768 |
|
重大度: 高 CVSS スコア: 8.8 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
説明: バージョン 5.12.6 より前の macOS 版 Zoom Client for Meetings インストーラ(標準ユーザーおよび IT 管理者向け)にローカル特権昇格の脆弱性が含まれています。 特権の少ないローカル ユーザーは、インストール プロセスでこの脆弱性を利用して自身の特権をルートに昇格させる可能性があります。 影響を受けるプロダクト:
情報元: 報告: Koh M. Nakagawa 氏(tsunekoh) |
|||||
|
|
ZSB-22027 | 11/15/2022 | Windows 版 Zoom クライアントにおける DLL インジェクション | 高 | CVE-2022-28766 |
|
重大度: 高 CVSS スコア: 8.1 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L
説明: バージョン 5.12.6 より前の Windows 32 ビット版 Zoom Client for Meetings およびカンファレンス ルーム向け Zoom Rooms は、DLL インジェクションの脆弱性の影響を受けやすくなります。 特権の少ないローカル ユーザーは、この脆弱性を利用して Zoom クライアントのコンテキストで任意のコードを実行する可能性があります。 影響を受けるプロダクト:
情報元: 報告: sim0nsecurity |
|||||
|
|
ZSB-22025 | 11/10/2022 | Zoom クライアントにおけるローカル情報の漏えい | 低 | CVE-2022-28764 |
|
重大度: 低 CVSS スコア: 3.3 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
説明: バージョン 5.12.6 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)は、ローカル情報の漏えいに関する脆弱性の影響を受けやすくなります。 影響を受けるプロダクト:
情報元: 報告: SySS GmbH 社、Christian Zäske 氏 |
|||||
|
|
ZSB-22024 | 10/24/2022 | Zoom デスクトップ クライアント / Zoom モバイルアプリでの不適切な URL 解析 | 高 | CVE-2022-28763 |
|
重大度: 高 CVSS スコア: 8.8 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
説明: バージョン 5.12.2 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)は、URL 解析の脆弱性の影響を受けやすくなります。 悪意のある Zoom ミーティングの URL が開かれると、ユーザーは悪意のあるリンクによって任意のネットワーク アドレスに接続するよう誘導され、その結果セッションの乗っ取りなど、さらなる攻撃につながる可能性があります。 影響を受けるプロダクト:
情報元: 報告: Zoom セキュリティ チーム |
|||||
|
|
ZSB-22023 | 10/11/2022 | macOS 版 Zoom Client for Meetings の Zoom Apps におけるデバッグポートの設定ミス | 高 | CVE-2022-28762 |
|
重大度: 高 CVSS スコア: 7.3 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
説明: バージョン 5.10.6 以降バージョン 5.12.0 より前の macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)には、デバッグポートの設定ミスが含まれています。 特定の Zoom Apps を実行して、カメラモードのレンダリング コンテキストが Zoom アプリの Layers API の一部として有効になると、Zoom クライアントによってローカルのデバッグポートが開かれます。 悪意のあるローカル ユーザーがこのデバッグポートを使用して Zoom クライアントで実行している Zoom Apps に接続し、制御する可能性があります。 影響を受けるプロダクト:
情報元: 報告: Zoom セキュリティ チーム |
|||||
|
|
ZSB-22022 | 10/11/2022 | Zoom オンプレミス導入: 不適切なアクセスの制御 | 標準 | CVE-2022-28761 |
|
重大度: 標準 CVSS スコア: 6.5 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
説明: バージョン 4.8.20220916.131 より前の Zoom オンプレミス ミーティング コネクタ MMR には、不適切なアクセス コントロールの脆弱性が含まれています。 その結果、悪意のあるアクターは、参加を承認されているミーティングまたはウェビナーで、参加者がオーディオやビデオを受信しないようにして、ミーティングの中断を引き起こす可能性があります。 影響を受けるプロダクト:
情報元: 報告: Zoom 攻撃セキュリティ チーム |
|||||
|
|
ZSB-22021 | 09/13/2022 | Zoom オンプレミス導入: 不適切なアクセスの制御 | 標準 | CVE-2022-28760 |
|
重大度: 標準 CVSS スコア: 6.5 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
説明: バージョン 4.8.20220815.130 以前の Zoom オンプレミス ミーティング コネクタ MMR には、不適切なアクセスの制御に脆弱性が存在します。 その結果、悪意のあるアクターが他の参加者に見られることなく、参加が承認されているミーティングに参加する可能性があります。 影響を受けるプロダクト:
情報元: 報告: Zoom 攻撃セキュリティ チーム |
|||||
|
|
ZSB-22020 | 09/13/2022 | Zoom オンプレミス導入: 不適切なアクセスの制御 | 高 |
CVE-2022-28758 CVE-2022-28759 |
|
重大度: 高 CVSS スコア: 8.2 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
説明: バージョン 4.8.20220815.130 以前の Zoom オンプレミス ミーティング コネクタ MMR には、不適切なアクセスの制御に脆弱性が存在します。 その結果、悪意のあるアクターが、参加を承認されていないミーティングのオーディオやビデオのフィードを取得し、他のミーティングを中断させる可能性があります。 影響を受けるプロダクト:
情報元: 報告: Zoom セキュリティ チーム |
|||||
|
|
ZSB-22019 | 08/17/2022 | macOS 版 Zoom Client for Meetings における自動アップデータのローカル特権昇格 | 高 | CVE-2022-28757 |
|
重大度: 高 CVSS スコア: 8.8 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
説明: バージョン 5.7.3 から 5.11.6 より前のすべての macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)には、自動更新プロセスにおける脆弱性が含まれています。 特権の少ないローカル ユーザーは、この脆弱性を利用して自身の特権をルートに昇格させる可能性があります。 影響を受けるプロダクト:
情報元: 報告: Csaba Fitzl(theevilbit)(攻撃セキュリティ) |
|||||
|
|
ZSB-22018 | 08/13/2022 | macOS 版 Zoom プロダクトにおける自動アップデータのローカル特権昇格 [Updated 2022-09-13] | 高 | CVE-2022-28756 |
|
重大度: 高 CVSS スコア: 8.8 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
説明: バージョン 5.7.3 から 5.11.5 より前のすべての macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)と、バージョン 5.11.6 より前の macOS 版カンファレンス ルーム向け Zoom Rooms には、自動更新プロセスにおける脆弱性が含まれています。 特権の少ないローカル ユーザーは、この脆弱性を利用して自身の特権をルートに昇格させる可能性があります。 影響を受けるプロダクト:
情報元: Objective-See の Patrick Wardle 氏による報告 |
|||||
|
|
ZSB-22017 | 08/09/2022 | macOS 版 Zoom Client for Meetings におけるローカル特権昇格 | 高 | CVE-2022-28751 |
|
重大度: 高 CVSS スコア: 8.8 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
説明: バージョン 5.11.3 以前の macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)には、更新プロセス中のパッケージの署名検証に脆弱性が存在します。 特権の少ないローカル ユーザーは、この脆弱性を利用して自身の特権をルートに昇格させる可能性があります。 影響を受けるプロダクト:
情報元: Objective-See の Patrick Wardle 氏による報告 |
|||||
|
|
ZSB-22014 | 08/09/2022 | Zoom オンプレミス導入: 不適切なアクセスの制御 | 高 |
CVE-2022-28753 CVE-2022-28754 |
|
重大度: 高 CVSS スコア: 7.1 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N
説明: バージョン 4.8.129.20220714 以前の Zoom オンプレミス ミーティング コネクタ MMR には、不適切なアクセスの制御に脆弱性が存在します。 その結果、悪意のあるアクターは、他の参加者に見られることなく参加が承認されているミーティングに参加したり、待機室からミーティングへの入室を自分自身で許可したり、ホストになって他のミーティングの中断を引き起こしたりする可能性があります。 影響を受けるプロダクト:
情報元: 報告: Zoom 攻撃セキュリティ チーム |
|||||
|
|
ZSB-22016 | 08/09/2022 | Zoom デスクトップ クライアント / Zoom モバイルアプリでの不適切な URL 解析 [Updated 2022-10-24] | 重大 | CVE-2022-28755 |
|
重大度: 重大 CVSS スコア: 9.6 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
説明: バージョン 5.11.0 以前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)は、URL 解析の脆弱性の影響を受けやすくなります。 悪意のある Zoom ミーティングの URL が開かれると、ユーザーは悪意のあるリンクによって任意のネットワーク アドレスに接続するよう誘導され、その結果任意のパスから実行可能ファイルが起動されてリモートコードが実行される可能性があるなど、さらなる攻撃につながる可能性があります。 影響を受けるプロダクト:
情報元: 報告: Zoom 攻撃セキュリティ チーム |
|||||
|
|
ZSB-22012 | 08/09/2022 | Zoom オンプレミス導入: ミーティング コネクタにおけるスタック バッファ オーバーフロー | 高 | CVE-2022-28750 |
|
重大度: 高 CVSS スコア: 7.5 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
説明: バージョン 4.8.20220419.112 より前の Zoom オンプレミス ミーティング コネクタ ゾーン コントローラ(ZC)では、STUN エラーコードが正しく解析されないため、メモリが破損する可能性があり、悪意のあるアクターがアプリケーションをクラッシュさせる可能性があります。 4.8.12.20211115 以前のバージョンでは、この脆弱性を利用して任意のコードが実行される可能性もあります。 影響を受けるプロダクト:
情報元: 報告: Zoom 攻撃セキュリティ チーム |
|||||
|
|
ZSB-22011 | 06/14/2022 | ミーティング参加期間における不十分な認証チェック | 標準 | CVE-2022-28749 |
|
重大度: 標準 CVSS スコア: 6.5 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
説明: バージョン 4.8.113.20220526 より前の Zoom オンプレミス ミーティング コネクタ MMR では、Zoom でのミーティング出席者の権限を適切にチェックできません。 その結果、Zoom の待合室内に潜む脅威のアクターは、ホストの同意なしでミーティングに参加できます。 影響を受けるプロダクト:
情報元: 報告: Zoom 攻撃セキュリティ チーム |
|||||
|
|
ZSB-22010 | 06/14/2022 | Zoom / Zoom Rooms クライアント向け Zoom オープナー インストーラにおける DLL インジェクション | 高 | CVE-2022-22788 |
|
重大度: 高 CVSS スコア: 7.1 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
説明: Zoom Meeting クライアントをインストールせずにミーティングに参加しようとすると、ユーザーにより Zoom オープナー インストーラが [ミーティングの起動] ページからダウンロードされます。 バージョン 5.10.3 より前の Zoom Client for Meetings 向け Zoom オープナー インストーラと、バージョン 5.10.3 より前の Windows 版カンファレンス ルーム向け Zoom Rooms は、DLL インジェクション攻撃の影響を受けやすくなります。 この脆弱性は、被害者のホストマシン上で任意のコード実行に利用されるおそれがあります。 影響を受けるプロダクト:
情報元: 報告: James Tsz Ko Yeung 氏 |
|||||
|
|
ZSB-22009 | 05/17/2022 | Zoom Client for Meetings でのサーバー切り替え時のホスト名の検証が不十分 | 標準 | CVE-2022-22787 |
|
重大度: 標準 CVSS スコア: 5.9 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
説明: バージョン 5.10.0 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)は、サーバー切り替えリクエスト時にホスト名を正しく検証できません。 この問題は、Zoom サービスを使用しようとしたときに、疑いを持たないユーザーのクライアントをだまして、悪意のあるサーバーに接続させるための、より高度な攻撃で利用される可能性があります。 影響を受けるプロダクト:
情報元: 報告: Google Project Zero の Ivan Fratric 氏 |
|||||
|
|
ZSB-22008 | 05/17/2022 | Windows 版 Zoom Client for Meetings の更新パッケージのダウングレード | 高 | CVE-2022-22786 |
|
重大度: 高 CVSS スコア: 7.5 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
説明: バージョン 5.10.0 より前の Windows 版 Zoom Client for Meetings およびバージョン 5.10.0 より前の Windows 版カンファレンス ルーム向け Zoom Rooms は、更新プロセス中にインストール バージョンを正しくチェックできません。 この問題は、ユーザーをだまして、Zoom クライアントを安全性の低いバージョンにダウングレードさせるための、より高度な攻撃で利用される可能性があります。 影響を受けるプロダクト:
情報元: 報告: Google Project Zero の Ivan Fratric 氏 |
|||||
|
|
ZSB-22007 | 05/17/2022 | Zoom Client for Meetings でのセッション Cookie の不適切な制約 | 標準 | CVE-2022-22785 |
|
重大度: 標準 CVSS スコア: 5.9 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L
説明: バージョン 5.10.0 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)は、クライアント セッション Cookie を適切に制約できません。 この問題は、ユーザーの Zoom にスコープ設定されたセッション Cookie を Zoom 以外のドメインに送信するための、より高度な攻撃で利用される可能性があります。 これにより、Zoom ユーザーのなりすましが発生する可能性があります。 影響を受けるプロダクト:
情報元: 報告: Google Project Zero の Ivan Fratric 氏 |
|||||
|
|
ZSB- 22006 | 05/17/2022 | Zoom Client for Meetings での不適切な XML 解析 | 高 | CVE-2022-22784 |
|
重大度: 高 CVSS スコア: 8.1 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
説明: バージョン 5.10.0 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 版)は、XMPP メッセージ内の XML スタンザを適切に解析できません。 これにより、悪意のあるユーザーが、現在の XMPP メッセージ コンテキストから抜け出し、新しいメッセージ コンテキストを作成して、受信側ユーザーのクライアント プラットフォームにさまざまなアクションを実行させることができるようになります。 この問題は、サーバーから XMPP メッセージを偽装するための、より高度な攻撃で発生する利用される可能性があります。 影響を受けるプロダクト:
情報元: 報告: Google Project Zero の Ivan Fratric 氏 |
|||||
|
|
ZSB- 22005 | 04/27/2022 | Zoom オンプレミス ミーティング サービスでのプロセスメモリの状態漏洩 | 高 | CVE-2022-22783 |
|
重大度: 高 CVSS スコア: 8.3 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/CR:H
説明: バージョン 4.8.102.20220310 の Zoom オンプレミス ミーティング コネクタコントローラおよびバージョン 4.8.102.20220310 の オンプレミス ミーティング コネクタ MMRの脆弱性により、接続しているクライアントにプロセスメモリの断片が状態漏洩になり、パッシブな攻撃者により監視される可能性があります。 影響を受けるプロダクト:
情報元: Zoom 攻撃セキュリティ チーム |
|||||
|
|
ZSB-22004 | 04/27/2022 | Windows 版 Zoom クライアントにおけるローカル特権昇格 | 高 | CVE-2022-22782 |
|
重大度: 高 CVSS スコア: 7.9 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H
説明: バージョン5.9.7 以前のWindows 版 Zoom Client for Meetings、バージョン5.10.0 以前のWindows 版 カンファレンスルームの Zoom Rooms 、バージョン5.10.3 以前のWindows 版 Microsoft Outlook の Zoom プラグイン、バージョン 5.9.6 以前のZoom VDI Windows Meeting Clientsは、インストーラーの修復操作中にローカル特権昇格問題による影響を受けやすくなりました。 悪意のあるアクターは、これを利用して、システムレベルのファイルやフォルダーを削除し、ユーザーのホストマシンに整合性や可用性の問題を引き起こす可能性があります。 影響を受けるプロダクト:
情報元: Zero Day Initiative による報告 |
|||||
|
|
ZSB-22003 | 04/27/2022 | macOS 版 Zoom Client for Meetings の更新パッケージのダウングレード | 高 | CVE-2022-22781 |
|
重大度: 高 CVSS スコア: 7.5 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
説明: バージョン 5.9.6 以前の macOS 版 Zoom Client for Meetings(標準ユーザーおよび IT 管理者向け)は、更新プロセス中にパッケージのバージョンを適切にチェックできませんでした。 このような場合、悪意のあるアクターが、疑わしくないユーザーの現在インストールされているバージョンを、安全の低いバージョンに更新してしまう可能性があります。 影響を受けるプロダクト:
情報元: Objective-See の Patrick Wardle 氏による報告 |
|||||
|
|
ZSB-22002 | 02/08/2022 | 高圧縮ファイル爆弾に対する Zoom Team Chat の脆弱性 | 標準 | CVE-2022-22780 |
|
重大度: 標準 CVSS スコア: 4.7 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L
説明: Zoom Client for Meetings チャット機能には、バージョン 5.8.6 より前の Android、バージョン 5.9.0 より前の iOS、バージョン 5.8.6 より前の Linux、バージョン 5.7.3 より前の macOS、バージョン 5.6.3 より前の Windows で高圧縮ファイル爆弾攻撃に対する脆弱性がありました。 この問題により、システム リソースを使い果たすことでクライアント ホストでの可用性の問題が発生する可能性があります。 影響を受けるプロダクト:
情報元: 報告: Walmart Global Tech 社 Johnny Yu 氏 |
|||||
|
|
ZSB-22001 | 02/08/2022 | macOS / Windows 版 Keybase クライアントにおける削除不能の開封済みメッセージ | 低 | CVE-2022-22779 |
|
重大度: 低 CVSS スコア: 3.7 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
説明: バージョン 5.9.0 より前の macOS / Windows 版 Keybase クライアントでは、ユーザーが開封したメッセージを適切に削除できなくなります。 この問題は、送信側のユーザーがメッセージを展開する前に、受信側のユーザーがチャット以外の機能に切り替え、ホストをスリープ状態に設定した場合に発生する可能性があります。 これにより、ユーザーのファイル システムから削除されるはずだった機密情報が漏洩する可能性があります。 影響を受けるプロダクト:
情報元: 報告: Olivia O'Hara 氏 |
|||||
|
|
ZSB-21022 | 12/14/2021 | Windows 版 Keybase クライアントにおける任意のコマンド実行 | 標準 | CVE-2021-34426 |
|
重大度: 標準 CVSS スコア: 5.3 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
説明: ユーザーがコマンドラインで「keybase git lfs-config」コマンドを実行した際、バージョン 5.6.0 より前の Windows 版 Keybase クライアントで脆弱性が検出されました。 5.6.0 より前のバージョンでは、ユーザーの Git リポジトリへの書き込みアクセス権を持つ悪意のあるアクターがこの脆弱性を利用して、ユーザーのローカル システム上で任意の Windows コマンドを実行する可能性があります。 影響を受けるプロダクト:
情報元: Ryotak 氏による報告 |
|||||
|
|
ZSB-21021 | 12/14/2021 | Zoom Client for Meetings のチャットにおけるサーバーサイド リクエスト フォージェリー | 標準 | CVE-2021-34425 |
|
重大度: 標準 CVSS スコア: 4.7 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N
説明: バージョン 5.7.3 より前の Zoom Client for Meetings(Android、iOS、Linux、macOS、Windows 向け)には、チャットの「リンク プレビュー」機能にサーバーサイド リクエスト フォージェリーの脆弱性が含まれています。 5.7.3 より前のバージョンでは、ユーザーがチャットの「リンク プレビュー」機能を有効にした場合、悪意のあるアクターが直接アクセスできない URL に任意の HTTP GET リクエストを送信するようユーザーを欺く可能性があります。 影響を受けるプロダクト:
情報元: 報告: Walmart Global Tech 社 Johnny Yu 氏 |
|||||
|
|
ZSB-21020 | 11/24/2021 | Zoom クライアントおよび他製品におけるプロセスメモリの状態漏洩 | 標準 | CVE-2021-34424 |
|
重大度: 標準 CVSS スコア: 5.3 CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
説明: このセキュリティ速報の「影響を受ける製品」セクションに記載された製品で、プロセスメモリの状態を漏洩させる可能性がある脆弱性が検出されました。 この問題は、製品のメモリにある任意の領域内の分析情報取得に使用される可能性があります。 影響を受けるプロダクト:
情報元: 報告: Google Project Zero の Natalie Silvanovich 氏 |
|||||
|
|
ZSB-21019 | 11/24/2021 | Zoom クライアントおよび他製品におけるバッファ オーバーフロー | 高 | CVE-2021-34423 |
|
重大度: 高 CVSS スコア: 7.3 CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
説明: このセキュリティ速報の「影響を受ける製品」セクションに記載された製品で、バッファ オーバーフローの脆弱性が検出されました。 これにより、悪意のあるアクターがサービスやアプリケーションをクラッシュさせたり、この脆弱性を利用して任意のコードを実行したりできるようになる可能性があります。 影響を受けるプロダクト:
情報元: 報告: Google Project Zero の Natalie Silvanovich 氏 |
|||||
|
|
ZSB-21018 | 11/09/2021 | Windows 版 Keybase クライアントにおけるファイル名のパス トラバーサル | 高 | CVE-2021-34422 |
|
重大度: 高 CVSS スコア: 7.2 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
説明: バージョン 5.7.0 より前の Windows 版 Keybase クライアントには、チームフォルダにアップロードされたファイル名を検証する際、パス トラバーサルの脆弱性が含まれています。 悪意のあるユーザーが、特別に細工されたファイル名を含めて共有フォルダにファイルをアップロードすると、ユーザーがホストマシン上で想定されていなかったアプリケーションを実行できるようになる可能性があります。 悪意のあるユーザーが Keybase クライアントの公開フォルダ共有機能でこの脆弱性を利用した場合、リモートコードが実行される可能性があります。 影響を受けるプロダクト:
情報元: 報告: m4t35z |
|||||
|
|
ZSB-21017 | 11/09/2021 | Android / iOS 版 Keybase クライアントにおける削除不能の開封済みメッセージ | 低 | CVE-2021-34421 |
|
重大度: 低 CVSS スコア: 3.7 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
説明: バージョン 5.8.0 より前の Android / iOS 版 Keybase クライアントでは、ユーザーが開封するメッセージの送信中に受信側のユーザーがチャット セッションをバックグラウンドに配置すると、ユーザーが開封したメッセージを適切に削除できなくなります。 これにより、お客様のデバイスから削除されるはずだった機密情報が漏洩する可能性があります。 影響を受けるプロダクト:
情報元: 報告: Olivia O'Hara 氏、John Jackson 氏、Jackson Henry 氏、Robert Willis 氏 |
|||||
|
|
ZSB-21016 | 11/09/2021 | Windows 版 Zoom Client for Meetings におけるインストール実行ファイルの署名回避 | 標準 | CVE-2021-34420 |
|
重大度: 標準 CVSS スコア: 4.7 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N
説明: バージョン 5.5.4 より前の Windows 版 Zoom Client for Meetings インストーラは、.msi、.ps1、.bat の拡張子を持つファイルの署名を適切に検証しません。 これにより、悪意のあるアクターがお客様のコンピュータに悪意のあるソフトウェアをインストールする可能性があります。 影響を受けるプロダクト:
情報元: 報告: ManoMano 社 Laurent Delosieres 氏 |
|||||
|
|
ZSB-21015 | 11/09/2021 | Linux 版 Zoom Client for Meetings における HTML インジェクション | 低 | CVE-2021-34419 |
|
重大度: 低 CVSS スコア: 3.7 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
説明: バージョン 5.1.0 より前の Ubuntu Linux 版 Zoom Client for Meetings には、ミーティング内の画面共有プロセスでユーザーにリモート コントロール リクエストを送信するときに HTML インジェクションの脆弱性が含まれています。 これにより、ミーティング参加者がソーシャル エンジニアリング攻撃の標的にされる可能性があります。 影響を受けるプロダクト:
情報元: 報告: HackDefense 社 Danny de Weille 氏、Rick Verdoes 氏 |
|||||
|
|
ZSB-21014 | 11/09/2021 | オンプレミスのウェブ コンソールにおける事前認証 Null ポインタによるクラッシュ | 標準 | CVE-2021-34418 |
|
重大度: 標準 CVSS スコア: 4.0 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 説明: このセキュリティ速報の「影響を受ける製品」セクションに記載された製品用のウェブ コンソールのサインイン サービスでは、認証中に NULL バイトが送信されたことを検証できません。 これにより、サインイン サービスがクラッシュする可能性があります。 影響を受けるプロダクト:
情報元: 報告: Jeremy Brown 氏 |
|||||
|
|
ZSB-21013 | 11/09/2021 | MMR のウェブ コンソールを介した root 特権による認証済みリモート コマンドの実行 | 高 | CVE-2021-34417 |
|
重大度: 高 CVSS スコア: 7.9 CVSS ベクトル文字列: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N 説明: このセキュリティ速報の「影響を受ける製品」セクションに記載された製品用のウェブポータルにあるネットワーク プロキシページでは、ネットワーク プロキシ パスワードを設定するリクエストで送信される入力を検証できません。 これにより、ウェブポータル管理者によるリモート コマンド インジェクションが行われる可能性があります。 影響を受けるプロダクト:
情報元: 報告: Jeremy Brown 氏 |
|||||
|
|
ZSB-21012 | 09/30/2021 | ウェブポータルを介したオンプレミス イメージに対するリモートコード実行 | 標準 | CVE-2021-34416 |
|
重大度: 標準 CVSS スコア: 5.5 CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N 説明: バージョン 4.6.360.20210325 より前の Zoom オンプレミス ミーティング コネクタのネットワーク アドレス管理設定ウェブポータル、バージョン 4.6.360.20210325 より前の Zoom オンプレミス ミーティング コネクタ MMR、バージョン 3.8.44.20210326 より前の Zoom オンプレミス レコーディング コネクタ、バージョン 4.4.6752.20210326 より前のオンプレミス仮想ルーム コネクタをズーム、およびバージョン 2.5.5495.20210326 より前の Zoom オンプレミス バーチャル ルームコネクタ、ネットワークの更新に送信された要求を検証できません。 構成を行うため、ウェブポータル管理者によるオンプレミス イメージへのリモート コマンド注入が可能になります。 影響を受けるプロダクト:
情報元: 報告: Positive Technologies 社 Egor Dimitrenko 氏 |
|||||
|
|
ZSB-21011 | 09/30/2021 | 多くの割り当てを引き起こす PDU を使用した ZC でのクラッシュ | 高 | CVE-2021-34415 |
|
重大度: 高 CVSS スコア: 7.5 CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 説明: バージョン 4.6.358.20210205 より前の Zoom オンプレミス ミーティング コネクタ コントローラのゾーン コントローラ サービスでは、受信ネットワーク パケットで送信される cnt フィールドを検証しないため、リソースが枯渇し、システムがクラッシュします。 影響を受けるプロダクト:
情報元: 報告: Positive Technologies 社 Nikita Abramov 氏 |
|||||
|
|
ZSB-21010 | 09/30/2021 | ウェブポータルのネットワーク プロキシ設定を介したミーティング コネクタ サーバーに対するリモートコード実行 | 標準 | CVE-2021-34414 |
|
重大度: 標準 CVSS スコア: 7.2 CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 説明: バージョン 4.6.348.20201217 より前の Zoom オンプレミス ミーティング コネクタ コントローラ、バージョン 4.6.348.20201217 より前の Zoom オンプレミス ミーティング コネクタ MMR、バージョン 3.8.42.20200905 より前の Zoom オンプレミス レコーディング コネクタ、バージョン 4.4.6620.20201110 より前の Zoom オンプレミス バーチャル ルームコネクタ、バージョン 2.5.5495.20210326 より前の Zoom オンプレミス バーチャル ルームコネクタ ロードバランサ向けウェブポータルにあるネットワーク プロキシページでは、ネットワークのプロキシ設定を更新するリクエストで送信される入力を検証できないため、ウェブポータル管理者によるオンプレミス イメージへのリモート コマンド インジェクションが行われる可能性があります。 影響を受けるプロダクト:
情報元: 報告: Positive Technologies 社 Egor Dimitrenko 氏 |
|||||
|
|
ZSB-21009 | 09/30/2021 | macOS 版 Zoom Plugin for Microsoft Outlook インストーラにおけるローカル特権昇格 | 低 | CVE-2021-34413 |
|
重大度: 低 CVSS スコア: 2.8 CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:N 説明: バージョン 5.3.52553.0918 以前のすべての macOS 版 Zoom Plugin for Microsoft Outlook には、プラグインのインストール プロセス期間における Time-of-check Time-of-use(TOC / TOU)の脆弱性が存在します。 これにより、標準ユーザーが独自の悪意あるアプリケーションをプラグイン ディレクトリに書き込み、このアプリケーションを特権付きコンテキストで実行できるようになる可能性があります。 影響を受けるプロダクト:
情報元: 報告: Lockheed Martin 社 Red チーム |
|||||
|
|
ZSB-21008 | 09/30/2021 | Windows 版 Zoom Client for Meetings インストーラにおけるローカル特権昇格 | 標準 | CVE-2021-34412 |
|
重大度: 標準 CVSS スコア: 4.4 CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
説明: バージョン 5.4.0 より前のすべての Windows 版 Zoom Client for Meetings のインストール プロセス中、Internet Explorer を起動することができます。 SCCM などの特権昇格によってインストーラが起動した場合、ローカル特権昇格も発生する可能性があります。 影響を受けるプロダクト:
情報元: 報告: Lockheed Martin 社 Red チーム |
|||||
|
|
ZSB-21007 | 09/30/2021 | Zoom Rooms for Conference Room インストーラにおけるローカル特権昇格 | 標準 | CVE-2021-34411 |
|
重大度: 標準 CVSS スコア: 4.4 CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
説明: バージョン 5.3.0 より前の Windows 版 Zoom Rooms for Conference Room のインストール プロセス中、特権昇格で Internet Explorer を起動することができます。 SCCM などの特権昇格によってインストーラが起動した場合、ローカル特権昇格も発生する可能性があります。 影響を受けるプロダクト:
情報元: 報告: Lockheed Martin 社 Red チーム |
|||||
|
|
ZSB-21004 | 09/30/2021 | Zoom MSI インストーラにおけるジャンクションを使用した書き込み特権昇格 | 高 | CVE-2021-34408 |
|
重大度: 高 CVSS スコア: 7.0 CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
説明: バージョン 5.3.2 より前の Windows 版 Zoom Client for Meetings のインストール中に作成されたユーザー書き込み可能なディレクトリは、ジャンクションを使用して別の場所にリダイレクトできます。 これにより、攻撃者は限定ユーザーしか変更できないファイルを上書きできるようになります。 影響を受けるプロダクト:
情報元: 報告: Lockheed Martin 社 Red チーム |
|||||
|
|
ZSB-21003 | 09/30/2021 | Windows 版 Zoom Client for Meetings インストーラにおけるデジタル署名の回避 | 高 | CVE-2021-33907 |
|
重大度: 高 CVSS スコア: 7.0 CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H/MPR:N/MUI:R/MS:U/MC:H/MI:H/MA:H
説明: バージョン 5.3.0 より前のすべての Windows 版 Zoom Client for Meetings では、クライアントを更新するときに .msi ファイルへの署名に使用される証明書情報が適切に検証されません。 これにより、昇格した特権付きコンテキストでリモートコードが実行される可能性があります。 影響を受けるプロダクト:
情報元: 報告: Lockheed Martin 社 Red チーム |
|||||
|
|
ZSB-21002 | 08/23/2023 | XMPP メッセージからの未検証の書き換えによる静的バッファーのヒープ オーバーフロー | 高 | CVE-2021-30480 |
|
重大度: 高 CVSS スコア: 8.1 CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:H/MI:H/MA:H
説明: ヒープ領域のバッファー オーバーフローは、5.6.3 以前の Zoom Client for Meetings のすべてのデスクトップ バージョンで起こる可能性があります。 この問題は、2021 Pwn20wn Vancouver の一環として Zoom に報告されたものです。 Pwn20wn の期間中に示された攻撃チェーンは、Zoom が 2021 年 4 月 9 日に実施したインフラストラクチャのサーバー側の変更で緩和されました。 影響を受けるプロダクト:
情報元: Zero Day Initiative を通した Computest の Daan Keuper 氏と Thijs Alkemade 氏による報告 |
|||||
|
|
ZSB-21001 | 03/26/2021 | アプリケーション ウィンドウの画面共有機能 | 標準 | CVE-2021-28133 |
|
重大度: 標準 CVSS スコア: 5.7 CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N
説明: 個々のアプリケーション ウィンドウを共有する際に、脆弱性が Windows と Linux 版クライアントの画面共有機能に影響を及ぼし、画面共有中のユーザーが明示的に共有していないアプリケーション画面の内容が、他のウィンドウを最小化、最大化、または閉じる際に、短時間他のミーティング参加者に見られる可能性があります。 影響を受けるプロダクト:
情報元: Michael Stramez 氏と Matthias Deeg 氏が発見しました。 |
|||||
|
|
ZSB-20002 | 08/14/2020 | Zoom Sharing Service における Windows DLL | 高 | CVE-2020-9767 |
|
重大度: 高 CVSS スコア: 7.8 CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
説明: Zoom Sharing Service に読み込まれるダイナミック リンク ライブラリ(「DLL」)に関連する脆弱性により、Windows のローカル ユーザーが NT AUTHORITY/SYSTEM ユーザーの特権を昇格させることができる可能性があります。 影響を受けるプロダクト:
情報元: Context Information Security 社の Connor Scott 氏 |
|||||
|
|
ZSB-20001 | 05/04/2020 | Windows 版 Zoom IT インストーラー | 高 | CVE-2020-11443 |
|
重大度: 高 CVSS スコア: 基本: 8.4 CVSS ベクトル文字列: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:Hs
説明: Windows 版 Zoom のインストーラーがファイルを削除する際のジャンクションの処理方法に脆弱性があり、Windows のローカル ユーザーが、通常ユーザーが削除できないファイルを削除できる可能性があります。 影響を受けるプロダクト:
情報元: Lockheed Martin Red Team に感謝申し上げます。 |
|||||
|
|
ZSB-19003 | 07/12/2019 | ZoomOpener デーモン | 高 | CVE-2019-13567 |
|
重大度: 高 CVSS スコア: 基本: 7.5 CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
説明: macOS 版 Zoom クライアントの脆弱性により、攻撃者は悪意のあるソフトウェアを被害者のデバイスにダウンロードできる可能性があります。 影響を受けるプロダクト:
情報元: 不明。 |
|||||
|
|
ZSB-19002 | 07/09/2019 | デフォルトのビデオ設定 | 低 | CVE-2019-13450 |
|
重大度: 低 CVSS スコア: 基本: 3.1 CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
説明: macOS 版 Zoom および RingCentral クライアントの脆弱性により、リモートの未認証の攻撃者が、ビデオカメラを有効にした状態でユーザーをビデオ通話に参加させる可能性があります。 影響を受けるプロダクト:
情報元: Jonathan Leitschuh 氏が発見しました。 |
|||||
|
|
ZSB-19001 | 07/09/2019 | DoS 攻撃 - macOS | 低 | CVE-2019-13449 |
|
重大度: 低 CVSS スコア: 基本: 3.1 CVSS ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
説明: macOS 版 Zoom クライアントの脆弱性により、リモートの未認証の攻撃者が、被害者のシステムで DoS 攻撃を行う可能性があります。 影響を受けるプロダクト:
情報元: Jonathan Leitschuh 氏が発見しました。 |
|||||
| No results found | |||||
個人用メールアドレスをご登録いただくと、今後の Zoom セキュリティ速報に関する通知を受信できます。 (注: メールのエイリアスはこれらの通知を受信しません)