Zoom Workplace Appsに複数の脆弱性 Windows版を含む全てのバージョンに影響：セキュリティニュースアラート

Zoomは「Zoom Workplace Apps」に影響を与える複数のCVEに対応するセキュリティ更新を公開した。Windows版含む全Zoom Workplace Appsが影響を受ける。即座にアップデートを適用し、被害を未然に防ぐ必要がある。

[後藤大地，有限会社オングス]

　Zoomは2025年5月13日（現地時間）、「Zoom Workplace Apps」に影響を与える複数の脆弱（ぜいじゃく）性を修正するセキュリティアップデートを公開した。

　今回の更新には共通脆弱性評価システム（CVSS）の深刻度「重要」（High）と評価された脆弱性1件と、「警告」（Medium）とされる複数の脆弱性が含まれている。「Windows」版を含む全てのZoom Workplace Appsが対象となっており、利用者に対して速やかなアップデートの適用が推奨されている。

Zoom Workplace Appsを狙うTOCTOU攻撃リスク、CVE多数公開

　脆弱性情報データベース（CVE）に登録された情報は以下の通りだ。

• CVE-2025-30663：　TOCTOU（Time-of-Check to Time-of-Use）と呼ばれる競合状態の問題。システムが処理の安全性を確認した直後に実行するまでの短い時間差を突かれ、攻撃者が介入できる可能性がある。深刻度「重要」（High）と評価されている
• CVE-2025-46786、CVE-2025-46787、CVE-2025-30664：　全てのZoom Workplace Appsに影響する特殊要素の不適切な処理の問題。ユーザー入力の処理に不備があり、想定外のスクリプトやコマンドが実行される可能性がある
• CVE-2025-46785：　Windows版におけるバッファーオーバーリードの脆弱性。アプリケーションが本来読み取るべき範囲を超えたデータにアクセスすることで、機密情報が漏えいするリスクがある
• CVE-2025-30665、CVE-2025-30666、CVE-2025-30667、CVE-2025-30670、CVE-2025-30671、CVE-2025-30672：　NULLポインタの参照によるアプリケーションのクラッシュに関する脆弱性。認証されたユーザーがネットワークアクセスを介してDoS攻撃を実行できる可能性がある
• CVE-2025-30668：　Zoom Workplace Appsにおける整数アンダーフローの脆弱性。認証されたユーザーがネットワークアクセスを介してDoS攻撃を実行できる可能性がある

　Zoomはこれらの脆弱性を修正したバージョンをリリースしており、全てのユーザーに対し更新するよう強く推奨している。最新バージョンはZoom公式サイトからダウンロードできる。