NECネッツエスアイ

【2023年8月】セキュリティ速報通知

【2023年8月】セキュリティ速報通知

平素格別のご高配を賜り、厚く御礼申し上げます。

また共創ワークソリューション Zoomをご利用頂き、誠にありがとうございます。

Zoomのセキュリティ速報にて8月8日に以下10件の致命的または重大度の高いインシデントが公開されております。

●CVE-2023-36540  重大度:High ZSB-23026

バージョン5.14.5より前のWindows用Zoomデスクトップクライアントのインストーラーで、信頼されていない検索パスを使用すると、認証済みユーザーがローカルアクセス経由で権限の昇格を可能にする可能性があります。

 影響を受ける製品

・バージョン5.14.5より前のWindows用Zoomデスクトップクライアント

影響を受ける製品をご利用の場合は、本件の対応の為に、最新のアップデートを適用するか、最新のセキュリティアップデートをすべて含む最新のZoomソフトウェアをhttps://zoom.us/download からダウンロードしてご利用ください。

●CVE-2023-36541  重大度:High ZSB-23027

バージョン5.14.5より前のWindows用Zoom デスクトップクライアントでは、データの信頼性の検証が不十分なため、認証済みユーザーがネットワークアクセス経由で権限を昇格できる可能性があります。

 影響を受ける製品

・バージョン5.14.5より前のWindows用Zoomデスクトップクライアント

影響を受ける製品をご利用の場合は、本件の対応の為に、最新のアップデートを適用するか、最新のセキュリティアップデートをすべて含む最新のZoomソフトウェアをhttps://zoom.us/download からダウンロードしてご利用ください。

●CVE-2023-36533  重大度:High ZSB-23029

バージョン5.14.7より前のZoom SDKでは、リソースの消費が制御されていないため、認証されていないユーザーがネットワークアクセス経由でサービス拒否を有効にできる可能性があります。

 影響を受ける製品

・バージョン5.14.7より前のWindows用Zoom Client SDK

・バージョン5.14.7より前のiOS用Zoom Client SDK

・バージョン5.14.7より前のAndroid用Zoom Client SDK

・バージョン5.14.7より前のmacOS用Zoom Client SDK

・バージョン5.14.7より前のLinux用Zoom Client SDK

影響を受ける製品をご利用の場合は、本件の対応の為に、最新のアップデートを適用するか、最新のセキュリティアップデートをすべて含む最新のZoomソフトウェアをhttps://zoom.us/download からダウンロードしてご利用ください。

●CVE-2023-36534  重大度:Critical ZSB-23030

バージョン5.14.7より前のWindows用Zoomデスクトップクライアントでは、パストラバーサルにより、認証されていないユーザーがネットワークアクセス経由で権限を昇格できる可能性があります。

 影響を受ける製品

・バージョン5.14.7より前のWindows用Zoomデスクトップクライアント

影響を受ける製品をご利用の場合は、本件の対応の為に、最新のアップデートを適用するか、最新のセキュリティアップデートをすべて含む最新のZoomソフトウェアをhttps://zoom.us/download からダウンロードしてご利用ください。

●CVE-2023-36535  重大度:High ZSB-23031

バージョン5.14.10より前のZoomクライアントでは、クライアント側からサーバー側のセキュリティを強制することにより、認証済みユーザーがネットワークアクセス経由で情報漏洩を可能にする可能性があります。

 影響を受ける製品

・バージョン5.14.10より前のWindows用Zoomデスクトップクライアント

・バージョン5.14.10より前のmacOS用Zoomデスクトップ クライアント

・バージョン5.14.10より前のLinux用Zoomデスクトップ クライアント

・バージョン5.14.10より前のZoomVDIクライアントおよびプラグイン

・バージョン5.14.10より前のAndroid用Zoomモバイルアプリ

・バージョン5.14.10より前のiOS用Zoomモバイルアプリ

・バージョン5.14.10より前のiPad 用ZoomRooms

・バージョン5.14.10より前のAndroid用ZoomRooms

・バージョン5.14.10より前のWindows用ZoomRooms

・バージョン5.14.10より前のmacOS用ZoomRooms

影響を受ける製品をご利用の場合は、本件の対応の為に、最新のアップデートを適用するか、最新のセキュリティアップデートをすべて含む最新のZoomソフトウェアをhttps://zoom.us/download からダウンロードしてご利用ください。

●CVE-2023-39216  重大度:Critical ZSB-23032

バージョン5.14.7より前のWindows用Zoomデスクトップクライアントでは、入力検証が不適切なため、認証されていないユーザーがネットワークアクセス経由で権限の昇格を可能にする可能性があります。

 影響を受ける製品

・バージョン5.14.7より前のWindows用Zoomデスクトップクライアント

影響を受ける製品をご利用の場合は、本件の対応の為に、最新のアップデートを適用するか、最新のセキュリティアップデートをすべて含む最新のZoomソフトウェアをhttps://zoom.us/download からダウンロードしてご利用ください。

●CVE-2023-39211  重大度:High ZSB-23036

バージョン5.15.5より前のWindows用ZoomデスクトップクライアントおよびWindows用ZoomRoomsでは、不適切な権限管理により、認証済みユーザーがローカルアクセス経由で情報漏洩を可能にする可能性があります。

 影響を受ける製品

・バージョン5.15.5より前のWindows用Zoomデスクトップクライアント

・バージョン5.15.5より前のWindows用ZoomRooms

影響を受ける製品をご利用の場合は、本件の対応の為に、最新のアップデートを適用するか、最新のセキュリティアップデートをすべて含む最新のZoomソフトウェアをhttps://zoom.us/download からダウンロードしてご利用ください。

●CVE-2023-39212  重大度:High ZSB-23037

バージョン5.15.5より前のWindows用ZoomRoomsでは、信頼されていない検索パスを使用すると、認証済みユーザーがローカルアクセス経由でサービス拒否を有効にできる可能性があります。

 影響を受ける製品

・バージョン5.15.5より前のWindows用ZoomRooms

影響を受ける製品をご利用の場合は、本件の対応の為に、最新のアップデートを適用するか、最新のセキュリティアップデートをすべて含む最新のZoomソフトウェアをhttps://zoom.us/download からダウンロードしてご利用ください。

●CVE-2023-39213  重大度:Critical ZSB-23038

バージョン5.15.2より前のWindows用ZoomデスクトップクライアントおよびZoomVDIでは、特殊要素の無効化が不適切なため、認証されていないユーザーがネットワークアクセス経由で権限を昇格する可能性があります。

 影響を受ける製品

・バージョン5.15.2より前のWindows用Zoomデスクトップクライアント

・バージョン5.15.2より前のZoomVDIクライアント

影響を受ける製品をご利用の場合は、本件の対応の為に、最新のアップデートを適用するか、最新のセキュリティアップデートをすべて含む最新のZoomソフトウェアをhttps://zoom.us/download からダウンロードしてご利用ください。

●CVE-2023-39214  重大度:High ZSB-23039

バージョン5.15.5より前のZoomクライアントSDK で機密情報が漏洩すると、認証済みユーザーがネットワークアクセスを介してサービス拒否を有効にできる可能性があります。

 影響を受ける製品

・バージョン5.15.5より前のWindows用Zoom Client SDK

・バージョン5.15.5より前のiOS用Zoom Client SDK

・バージョン5.15.5より前のAndroid用Zoom Client SDK

・バージョン5.15.5より前のmacOS用Zoom Client SDK

・バージョン5.15.5より前のLinux用Zoom Client SDK

影響を受ける製品をご利用の場合は、本件の対応の為に、最新のアップデートを適用するか、最新のセキュリティアップデートをすべて含む最新のZoomソフトウェアをhttps://zoom.us/download からダウンロードしてご利用ください。

●参考情報

https://explore.zoom.us/en/trust/security/security-bulletin/

ZSB-23026(Untrusted Search Path)

ZSB-23027(Insufficient Verification of Data Authenticity)

ZSB-23029(Uncontrolled Resource Consumption)

ZSB-23030(Path Traversal)

ZSB-23031(Client-Side Enforcement of Server-Side Security)

ZSB-23032(Improper Input Validation)

ZSB-23036(Improper Privilege Management)

ZSB-23037(Untrusted Search Path)

ZSB-23038(Improper Neutralization of Special Elements)

ZSB-23039(Exposure of Sensitive Information)

 

※Zoom及びZoom名称を含むサービスはZoom Video Communications, Inc.が提供するサービスです。
※記載されている会社名および製品名は、各社の商標または登録商標です。

以上