Zoomに複数脆弱性、クライアントやSDKなど広く影響

オンライン会議ソリューションを展開するZoomのクライアントソフトやオンプレミス製品、SDKなどに脆弱性が明らかとなった。脆弱性を修正するアップデートが提供されている。

「CVE-2021-34423」は、バッファオーバーフローの脆弱性。悪用された場合、アプリケーションがクラッシュし、任意のコードを実行されるおそれがある。同社は共通脆弱性評価システム「CVSSv3.0」のベーススコアを「7.3」、重要度を「高（High）」としている。

またメモリの状態が漏洩するおそれがある「CVE-2021-34424」もあわせて明らかとなった。CVSS基本値は「5.3」で重要度は「中（Medium）」。

これら脆弱性は、「Zoom Client for Meetings」をはじめ、「Zoom Rooms for Conference Room」「Controllers for Zoom Rooms」などに影響があり、「Windows」や「macOS」「Linux」をはじめ、「iOS」「Android」「Blackberry」「Chrome OS」など幅広いプラットフォームが対象となっている。

さらに「Zoom Meeting SDK」「Zoom Video SDK」といった開発キットや複数のオンプレミス製品、「Zoom Hybrid Zproxy」「Zoom Hybrid MMR」など幅広い製品に存在するという。同社では各製品に対して脆弱性を修正したアップデートをリリースしており、最新版を用いるよう呼びかけている。

（Security NEXT - 2021/11/30 ） ツイート

PR

関連記事

出光クレジットの会員サイトで情報流出の可能性 - 外部サービスが改ざん
「Google翻訳」悪用したフィッシングが横行 - 誘導先を正規ドメインに偽装
「Apache Hadoop」にコマンドインジェクションの脆弱性
サーバがランサム被害、情報流出の有無は判断つかず - 住和港運
VMware製IDアクセス管理製品の脆弱性を狙うあらたな悪用コードが公開
「Adobe Acrobat/Reader」に深刻な脆弱性 - アップデートにて修正
MSが月例パッチを公開、脆弱性121件に対処 - ゼロデイ脆弱性を修正
MS、約2年7カ月を経てゼロデイ脆弱性「Dogwalk」を修正 - すでに悪用も
漁協直売店で「Emotet」感染 - 通販サイトのメールが流出
「かながわ旅割」に参加する旅行業者宛のメールで誤送信 - 神奈川県