Zoom Client for Meetings におけるセッション Cookie の不適切な制約

セキュリティ速報: ZSB-22007
CVEID: CVE-2022-22785
CVSS 重大度: 中
CVSS 評価: 5.9
CVSS ベクトル文字列: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L

説明:

バージョン 5.10.0 より前の Zoom Client for Meetings（Android、iOS、Linux、macOS、Windows 版）は、クライアントセッション Cookie を適切に制約できません。この問題は、ユーザーの Zoom にスコープ設定されたセッション Cookie を Zoom 以外のドメインに送信するための、より高度な攻撃で利用される可能性があります。これにより、Zoom ユーザーのなりすましが発生する可能性があります。

ユーザーは、最新の更新プログラムを適用するか、https://zoom.us/download から最新のセキュリティ更新が適用された最新の Zoom ソフトウェアをダウンロードすることで、セキュリティを確保できます。

影響を受けるプロダクト:

Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.10.0

ソース:

報告: Google Project Zero の Ivan Fratric 氏

Revision	日付	説明
1.0	05/17/2022	初出版

Zoom Client for Meetings におけるセッション Cookie の不適切な制約

登録して最新情報をチェック