ニュース
Zoom Workplace Appsに複数の脆弱性 Windows版を含む全てのバージョンに影響:セキュリティニュースアラート
Zoomは「Zoom Workplace Apps」に影響を与える複数のCVEに対応するセキュリティ更新を公開した。Windows版含む全Zoom Workplace Appsが影響を受ける。即座にアップデートを適用し、被害を未然に防ぐ必要がある。
Zoomは2025年5月13日(現地時間)、「Zoom Workplace Apps」に影響を与える複数の脆弱(ぜいじゃく)性を修正するセキュリティアップデートを公開した。
今回の更新には共通脆弱性評価システム(CVSS)の深刻度「重要」(High)と評価された脆弱性1件と、「警告」(Medium)とされる複数の脆弱性が含まれている。「Windows」版を含む全てのZoom Workplace Appsが対象となっており、利用者に対して速やかなアップデートの適用が推奨されている。
Zoom Workplace Appsを狙うTOCTOU攻撃リスク、CVE多数公開
脆弱性情報データベース(CVE)に登録された情報は以下の通りだ。
- CVE-2025-30663: TOCTOU(Time-of-Check to Time-of-Use)と呼ばれる競合状態の問題。システムが処理の安全性を確認した直後に実行するまでの短い時間差を突かれ、攻撃者が介入できる可能性がある。深刻度「重要」(High)と評価されている
- CVE-2025-46786、CVE-2025-46787、CVE-2025-30664: 全てのZoom Workplace Appsに影響する特殊要素の不適切な処理の問題。ユーザー入力の処理に不備があり、想定外のスクリプトやコマンドが実行される可能性がある
- CVE-2025-46785: Windows版におけるバッファーオーバーリードの脆弱性。アプリケーションが本来読み取るべき範囲を超えたデータにアクセスすることで、機密情報が漏えいするリスクがある
- CVE-2025-30665、CVE-2025-30666、CVE-2025-30667、CVE-2025-30670、CVE-2025-30671、CVE-2025-30672: NULLポインタの参照によるアプリケーションのクラッシュに関する脆弱性。認証されたユーザーがネットワークアクセスを介してDoS攻撃を実行できる可能性がある
- CVE-2025-30668: Zoom Workplace Appsにおける整数アンダーフローの脆弱性。認証されたユーザーがネットワークアクセスを介してDoS攻撃を実行できる可能性がある
Zoomはこれらの脆弱性を修正したバージョンをリリースしており、全てのユーザーに対し更新するよう強く推奨している。最新バージョンはZoom公式サイトからダウンロードできる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
NECが仕掛ける“自社ビルSOC”は何がスゴイのか? 新施設をのぞいてみた
NECは「.JP(日本のサイバー空間)を守る」をスローガンに、サイバーセキュリティ事業のさらなる強化を図るという。その一環として、KDDIとの協業に加えて“自社ビル”でのグローバルSOC構築に向けて新施設を公開した。そのメリットとは何か。
日本を標的にした大規模フィッシングキャンペーンが激増 その高度な手口
Proofpointは、日本を標的とした大規模な「CoGUI」フィッシング攻撃を観測した。攻撃者は楽天やPayPayなどの有名ブランドを装い、ユーザーから個人情報を盗み取ろうとしている。
“偽基地局”による通信傍受や詐欺が深刻化 日本でも本格化の兆し
フィリピンでIMSIキャッチャーを使った通信傍受や詐欺が深刻化し、消費者団体が政府に対策を求めている。装置は小型化して都市部に持ち込まれ、個人情報盗取やマルウェア感染を引き起こしている。この問題は日本にも関係があるという。
リーダーが押さえるべきゼロトラストの最新7トレンド ガートナーが提言
ガートナーはセキュリティおよびリスク管理(SRM)リーダーが注目すべき、ゼロトラストに関する最新の7トレンドを発表した。ゼロトラストを構成する要素のうち特にどの領域に注意し、どのように進めればいいかを解説している。