セキュリティ

SECURITY

公開：2025-01-16

ZoomがLinux向けWorkplace Appsの脆弱性を修正、バージョン6.2.5で対策完了しサービス拒否攻撃のリスクに対応

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Zoom Workplace Apps for Linuxに脆弱性が発見
• バージョン6.2.5以前に重大な脆弱性が存在
• CVE-2025-0143として登録され対策版を公開

Zoom Workplace Apps for Linuxのバージョン6.2.5未満に脆弱性

Zoomは2025年1月14日、Linux向けWorkplace Appsにおいて範囲外書き込みの脆弱性CVE-2025-0143を発見したことを公開した。この脆弱性は悪用されるとネットワークアクセスを介してサービス拒否攻撃を引き起こす可能性があり、CVSSスコアは4.3で深刻度は中程度となっている。^[1]

脆弱性の影響を受けるのはZoom Workplace App for Linuxのバージョン6.2.5未満であり、Zoom Meeting SDKとZoom Video SDKのLinux版も同様に影響を受けることが判明した。ユーザーに対してはZoomの公式サイトから最新版へのアップデートを推奨している。

この脆弱性はセキュリティ研究者のshmoulによって報告され、Zoomのセキュリティチームが確認と対応を行った。脆弱性の詳細はZSB-25002として公開され、CVSSベクトルの詳細な分析により攻撃の複雑さや影響範囲が明確になっている。

Zoom脆弱性の詳細情報まとめ

最新版のダウンロードはこちら

範囲外書き込みについて

範囲外書き込みとは、プログラムが割り当てられたメモリ領域の範囲を超えてデータを書き込んでしまう脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

• メモリ破壊によってプログラムの異常終了を引き起こす可能性
• 権限昇格やコード実行などの深刻な影響をもたらす可能性
• バッファオーバーフローの一種としてセキュリティ上の重大な脅威

今回のZoom Workplace Apps for Linuxの脆弱性では、範囲外書き込みの脆弱性によってサービス拒否攻撃が可能となっている。CVSSスコアは4.3と中程度の評価だが、実際の攻撃には特定の条件が必要となり、影響は限定的であることが確認されている。

Zoom Workplace Apps for Linuxの脆弱性に関する考察

Zoomが脆弱性を迅速に特定し対応版をリリースしたことは評価に値する。特にLinux版の製品において複数のSDKにまたがる問題を包括的に解決し、ユーザーへの明確な対応指示を示したことは、セキュリティインシデント対応として適切な対処だったと考えられる。

今後の課題として、開発段階でのセキュリティテストの強化が重要となるだろう。特にクロスプラットフォーム開発において、各プラットフォーム固有の脆弱性にも注意を払う必要がある。さらにサードパーティ製のSDKを使用する開発者向けのセキュリティガイドラインの整備も検討すべきである。

Zoomの対応は迅速であったが、同様の脆弱性の再発を防ぐためには、継続的なセキュリティ監査とコードレビューの実施が不可欠だ。特にLinuxプラットフォームにおけるメモリ管理の課題に焦点を当てた開発プロセスの見直しが望まれる。

参考サイト

1. ^ Zoom. 「ZSB-25002 | Zoom」. https://www.zoom.com/en/trust/security-bulletin/zsb-25002/, (参照 25-01-16).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧