Zoom / Zoom Rooms クライアント向け ZoomOpener インストーラにおける DLL インジェクション
- ZSB-22010
- CVE-2022-22788
- 高
- 7.1
- CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
Zoom Meetings クライアントをインストールせずにミーティングに参加しようとすると、ユーザーにより ZoomOpener インストーラが [ミーティングの起動] ページからダウンロードされます。バージョン 5.10.3 より前の Zoom Client for Meetings 向け ZoomOpener インストーラと、バージョン 5.10.3 より前の Windows 版カンファレンス ルーム向け Zoom Rooms は、DLL インジェクション攻撃の影響を受けやすくなります。この脆弱性は、被害者のホストマシン上で任意のコード実行に利用されるおそれがあります。
ユーザーは、以前のバージョンの ZoomOpener インストーラを削除し、[ミーティングの起動] ページの [今すぐダウンロード] ボタンから最新バージョンの ZoomOpener インストーラを実行することで、セキュリティを確保できます。また、https://zoom.us/download から、すべての最新のセキュリティ更新が適用された最新版 Zoom ソフトウェアをダウンロードすることでも、セキュリティを確保できます。
- Zoom Client for Meetings for Windows before version 5.10.3
- All Zoom Rooms for Conference Room for Windows before version 5.10.3
報告: James Tsz Ko Yeung 氏
| Revision | 日付 | 説明 |
|---|---|---|
| 1.0 | 06/14/2022 | 初出版 |