2023年12月12日Zoom社のSecurity Bulletinに重大度「高」の脆弱性情報が掲載されました。
この記事では本脆弱性に対する情報を記載しています。
関連CVE番号:CVE-2023-43586
重大性:高
CVSSスコア:7.3
CVSSベクトル文字列:CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N
説明:以下はパストラバーサルにより、認証済みのユーザーがネットワークアクセス経由で特権の昇格を実行できる可能性があります。
- Windows用Zoomデスクトップクライアント
- Windows用Zoom VDIクライアント
- Windows用Zoom SDK
ユーザーは、最新のアップデートを適用するか、https://zoom.us/downloadから最新のセキュリティアップデートを含む最新のZoomソフトウェアをダウンロードすることで、安全性を確保できます。
影響を受けるZoom製品
- バージョン 5.16.5より前のWindows用 Zoom デスクトップクライアント
- バージョン 5.16.0より前のZoom VDIクライアント (5.14.14および5.15.12を除く)
- バージョン 5.16.5より前のWindows用 Zoom Video SDK
- バージョン 5.16.5より前のWindows用 Zoom ミーティングSDK
関連CVE番号:CVE-2023-43585
重大性:高
CVSSスコア:7.1
CVSSベクトル文字列:CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L
説明:以下は不適切なアクセス制御により、認証されたユーザーがネットワークアクセスを通じて情報漏洩を行う可能性があります。
- iOS用Zoomモバイルアプリ
- iOS用Zoom Video SDK
- iOS用ZoomミーティングSDK
- Android用ZoomミーティングSDK
ユーザーは、最新のアップデートを適用するか、https://zoom.us/downloadから最新のセキュリティアップデートを含む最新のZoomソフトウェアをダウンロードすることで、安全性を確保することができます。
影響を受けるZoom製品
- バージョン 5.16.5より前のiOS用 Zoomモバイルアプリ
- バージョン 5.16.5より前のiOS用 Zoom Video SDK
- バージョン 5.16.5より前のiOS用 ZoomミーティングSDK
- バージョン 5.16.0より前のAndroid用 ZoomミーティングSDK
解決策
- 最新バージョンへのアップデートを実施
- 以下よりZoomソフトウェアをダウンロードしインストールを実施
こちらの記事は、「Zoom Security Bulletin」を元に作成しました。