2023年8月8日Zoom社のSecurity Bulletinに重大度クリティカルな脆弱性情報が掲載されました。
この記事では本脆弱性に対する情報を記載しています。
関連CVE番号:CVE-2023-39213
重大性:クリティカル
CVSSスコア:9.6
CVSSベクトル文字列:CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
説明:バージョン5.15.2より前のZoomデスクトップクライアント(Windows)およびZoom VDIクライアントでは、特殊要素の無効化が不適切なため、認証されていないユーザーがネットワークアクセスを通じて特権を昇格できる可能性があります。
ユーザーは、最新のアップデートを適用するか、https://zoom.us/downloadから最新のセキュリティアップデートを含む最新のZoomソフトウェアをダウンロードすることで、安全を確保することができます。
影響を受けるZoom製品
- バージョン5.15.2以前のZoomデスクトップクライアント(Windows)
- バージョン5.15.2以前の Zoom VDIクライアント
関連CVE番号:CVE-2023-39216
重大性:クリティカル
CVSSスコア:9.6
CVSSベクトル文字列:CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
説明:バージョン5.14.7より前のZoomデスクトップクライアント(Windows)の不適切な入力検証により、認証されていないユーザーがネットワークアクセス経由で特権を昇格できる可能性があります。
ユーザーは、最新のアップデートを適用するか、https://zoom.us/downloadから最新のセキュリティアップデートを含む最新のZoomソフトウェアをダウンロードすることで、安全を確保することができます。
影響を受けるZoom製品
- バージョン5.14.7以前のZoomデスクトップクライアント(Windows)
関連CVE番号:CVE-2023-36534
重大性:クリティカル
CVSSスコア:9.3
CVSSベクトル文字列:CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H
説明:バージョン5.14.7より前のZoomデスクトップクライアント(Windows)では、パスのトラバーサルにより、認証されていないユーザーがネットワークアクセス経由で特権を昇格できる可能性があります。
ユーザーは、最新のアップデートを適用するか、https://zoom.us/downloadから最新のセキュリティアップデートを含む最新のZoomソフトウェアをダウンロードすることで、安全を確保することができます。
影響を受けるZoom製品
- バージョン5.14.7以前のZoomデスクトップクライアント(Windows)
解決策
- 最新バージョンへのアップデートを実施
- 以下よりZoomソフトウェアをダウンロードしインストールを実施
こちらの記事は、「Zoom Security Bulletin」を元に作成しました。