セキュリティ

SECURITY

公開：2025-01-16

Zoom Workplace app for macOSにSymlink followingの脆弱性が発見され、バージョン6.2.10で修正完了

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Zoom Workplace app for macOSのインストーラに脆弱性
• 認証済みユーザーによるサービス拒否の可能性
• バージョン6.2.10未満が影響を受ける

Zoom Workplace app for macOSのSymlinkの脆弱性

Zoomは2025年1月14日、Zoom Workplace app for macOSのバージョン6.2.10未満に存在する脆弱性（CVE-2025-0146）を公開した。インストーラにおけるSymlink followingの問題により、認証済みユーザーがローカルアクセスを通じてサービス拒否攻撃を実行できる可能性があることが明らかになっている。^[1]

この脆弱性はCVSS（共通脆弱性評価システム）でスコア3.9の低レベルと評価されており、脅威の深刻度は低いと判断されている。Zoom Workplace app for macOSに加えて、Zoom Rooms ClientとController、Zoom Meeting SDK、Zoom Video SDKなど複数の関連製品も影響を受けることが判明した。

Zoomは影響を受けるユーザーに対して、公式サイトから最新バージョンへのアップデートを推奨している。セキュリティの専門家からは、認証が必要な攻撃であることと、ローカルアクセスが必要となる点から、一般ユーザーへの影響は限定的であると指摘されている。

影響を受けるZoom製品まとめ

Zoomの最新バージョンのダウンロードはこちら

Symlinkについて

Symlinkとはシンボリックリンクの略称で、ファイルシステム上の別の場所にあるファイルやディレクトリへの参照を提供する特殊なファイルタイプのことを指す。主な特徴として以下のような点が挙げられる。

• ファイルシステム間でファイルやディレクトリを柔軟に参照可能
• オリジナルファイルの場所を変更せずにアクセスパスを提供
• ショートカットと似た機能だが、より低レベルでOSに統合

Symlinkの不適切な処理は、認証されたユーザーが悪意のあるリンクを作成し、セキュリティ境界を迂回してサービス拒否攻撃を引き起こす可能性がある。Zoom Workplace app for macOSの脆弱性は、インストーラがSymlinkを適切に処理できないことが原因で発生している。

Zoom Workplace app for macOSの脆弱性に関する考察

今回発見された脆弱性は、認証済みユーザーによるローカルアクセスが必要という制限があり、リモートからの攻撃が不可能な点が重要な特徴として挙げられる。一方で、複数のZoom製品が影響を受けることから、企業内での包括的なセキュリティ対策とアップデート管理の重要性が改めて浮き彫りになったと言えるだろう。

将来的には同様の脆弱性を防ぐため、インストーラの開発段階でのセキュリティテストの強化が必要になってくる。macOSのセキュリティ機能との連携を強化し、Symlinkの処理に関するベストプラクティスを確立することで、より安全な製品開発が可能になるはずだ。

また、今回の脆弱性対応を通じて得られた知見を、今後リリースされる新製品やアップデートの開発プロセスに活かしていく必要がある。企業におけるセキュリティ意識の向上と、継続的な脆弱性診断の実施が、より安全なビデオコミュニケーションプラットフォームの実現につながるだろう。

参考サイト

1. ^ Zoom. 「ZSB-25005 | Zoom」. https://www.zoom.com/en/trust/security-bulletin/zsb-25005/, (参照 25-01-16).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧