The Hacker Newsは5月24日(米国時間)、「New Zoom Flaws Could Let Attackers Hack Victims Just by Sending them a Message」において、Web会議サービス「Zoom」に4件の脆弱性が報告され、開発元が修正版となるバージョン5.10.0をリリースしたと伝えた。
これらの脆弱性が悪用されると、攻撃者によってZoomユーザーの成りすましや悪意のあるサーバへの接続、特権の昇格、任意のコード実行、プロセスメモリの公開といった被害を受ける危険性がある。
今回報告されている脆弱性は次の4件。
- CVE-2022-22784: Zoom Client for Meetingsクライアントにおける不適切なXML解析
- CVE-2022-22785: Zoom Client for MeetingsにおけるセッションCookieの不適切な制約
- CVE-2022-22786: Zoom Client for Meetings for Windowsにおけるパッケージの不正なダウングレード更新
- CVE-2022-22787: Zoom Client for Meetingsにおけるサーバー切り替え中のホスト名の不十分な検証
CVE-2022-22786はWindows版のみに影響する脆弱性だが、その他の3件についてはAndroid、iOS、Linux、macOS、およびWindowsの各アプリにそれぞれ影響する。各脆弱性の詳細は、Zoomによる次のセキュリティアドバイザリページにまとめられている。
最も深刻度が高いのはCVE-2022-22784で、CVSS v3のベーススコアは8.1となっている。これはチャット機能で使用されているXMPPメッセージ内のXMLの処理に起因する脆弱性で、悪用すると攻撃者が受信ユーザのクライアントにさまざまなアクションを実行させることができるという。
クライアントアプリは2022年5月17日にリリースされたバージョン5.10.0にアップデートすることで、これらの脆弱性の影響を回避することができる。