セキュリティ

SECURITY

公開：2025-01-16

ZoomがWorkplace Appsの脆弱性を公表、Out-of-bounds Writeによる完全性喪失の可能性が判明

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Zoom Workplace Appsにセキュリティの脆弱性が発見
• 全バージョンで最新版へのアップデートが必要
• Out-of-bounds Writeによる完全性喪失の可能性

Zoom Workplace Apps全バージョンの脆弱性

Zoomは2025年1月14日、Zoom Workplace Appsに関するセキュリティアップデートを公開した。CVE-2025-0144として報告された脆弱性は、Out-of-bounds Writeに関する問題で、認証済みユーザーがネットワークアクセスを介してシステムの完全性を損なう可能性があることが判明している。^[1]

この脆弱性の深刻度はCVSS v3.1で3.1と評価され、リスクレベルは低いとされている。攻撃に成功するには高度な技術的知識が必要とされ、認証されたユーザーのみが悪用可能な脆弱性となっているため、一般ユーザーへの影響は限定的だ。

Zoomは全ユーザーに対して、Windows版、macOS版、Linux版、iOS版、Android版のZoom Workplace Appを6.2.5以降にアップデートすることを推奨している。VDIクライアントについても6.1.13以降へのアップデートが必要で、Zoom公式サイトから最新版をダウンロードすることが可能だ。

影響を受けるZoom製品まとめ

最新版のダウンロードはこちら

Out-of-bounds Writeについて

Out-of-bounds Writeとは、プログラムが割り当てられたメモリ領域外にデータを書き込もうとする脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• メモリ領域の境界を超えたデータ書き込みが発生
• システムのクラッシュやセキュリティ上の問題を引き起こす可能性
• 攻撃者による任意のコード実行のリスクが存在

今回発見されたZoom Workplace Appsの脆弱性は、認証済みユーザーによってOut-of-bounds Writeが悪用される可能性がある。CVSSスコアが3.1と低く評価されているものの、システムの完全性が損なわれる可能性があるため、早急なアップデートが推奨されている。

Zoom Workplace Appsの脆弱性に関する考察

今回の脆弱性は認証済みユーザーのみが悪用可能で、高度な技術的知識が必要とされることから、一般ユーザーへの直接的な影響は限定的であることが評価できる。しかしながら、企業内の悪意のあるユーザーによって悪用される可能性があることから、システム管理者は早急なアップデート対応を行う必要があるだろう。

今後の課題として、Zoomの製品ラインナップが拡大する中で、各製品間の整合性を保ちながらセキュリティアップデートを展開する必要性が高まっていくことが予想される。特にエンタープライズ環境では、大規模な組織におけるアップデート管理の負担が増大する可能性があり、より効率的なアップデート配信の仕組みが求められるだろう。

Zoomには今回のような脆弱性の早期発見と迅速な対応を継続しつつ、さらなるセキュリティ強化に向けた取り組みが期待される。特に企業向けサービスでは、セキュリティ管理機能の強化やユーザー認証の厳格化など、より包括的なセキュリティ対策の実装が望まれる。

参考サイト

1. ^ Zoom. 「ZSB-25003 | Zoom」. https://www.zoom.com/en/trust/security-bulletin/zsb-25003/, (参照 25-01-16).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧