概要
2018年10月にZoomの脆弱性「CVE-2018-15715」が発見されました。この脆弱性による影響として、遠隔攻撃者または不正出席者は以下のように利用することができます。
- 参加者のキーボードとマウスを制御
参加者が画面共有をしていた場合、不正出席者がスクリーン共有をする間に画面制御許可を迂回し、参加者のキーボードとマウスを制御でき、被害者のデスクトップを制御可能とします。 - チャットメッセージの送信
会議に出席している他人に成りすまし、チャットメッセージを送ります。
- 会議室から出席者を退出させる。
主催者以外の出席者が他の出席者を退出させます。
その他マイクロフォンミュートの制御を行えます。
これまでZoom社には、この脆弱性の悪用による実害の報告は上がっておりません。
対策
この脆弱性が発見された直後に、Zoom社はWindows、Mac、iOS、Androidで利用可能な修正プログラムの開発に着手し現在は下記の修正バージョンがリリースされておりますのでアップデートの実施を推奨致します。
Zoom社は、お客様およびZoomプラットフォームのセキュリティを非常に真摯に受け止め、
今後も同様の脆弱性の影響を受けないようにするための追加的な対策を講じています。
修正バージョン:
Zoomクライアント:
Windows:4.1.34460.1105 以降
Mac:4.1.34475.1105 以降
Linux:2.5.146186.1130 以降
IOS:4.1.18(4460.1105) 以降
Android:4.1.34489.1105 以降
Chrome:3.3.1635.1130 以降
Zoom Rooms:
Windows:4.1.6(35121.1201) 以降
Mac:4.1.7(35123.1201) 以降
Chrome:3.6.2895.1130 以降
Zoom SDK:
Windows:4.1.30384.1029 以降
Mac:4.1.34180.1026 以降
IOS:4.1.34076.1024 以降
Android:4.1.34082.1024 以降
Zoom Cloud:
会議室コネクタ:完成品12/6/2018 以降
Skype for Businessコネクタ:完成品12/1/2018 以降
オンプレミス製品:
仮想ルームコネクタ:4.1.4813.1201 以降
会議コネクタ:4.3.135059.1129 以降
録音コネクタ:3.6.58865.1130 以降
詳細はZoom Help Center > Securityをご参照ください。
以上