【概要】
■脆弱性リスト
| 日 |
CVE番号 |
NVD |
CVSS v3 |
CWE |
脆弱性 |
備考 |
|---|---|---|---|---|---|---|
| 2018/11/30 | CVE-2018-15715 | NVD | 9.8 |
CWE-20 CWE-290 |
不適切な入力検証 なりすましによる認証回避 |
ZSB-18001 |
| 2019/07/09 | CVE-2019-13449 | NVD | 6.5 | CWE-20 | 不適切な入力検証 | ZSB-19001 |
| 2019/07/09 | CVE-2019-13450 | NVD | 6.5 | CWE-862 | 認証の欠落 | ZSB-19002 |
| 2019/07/12 | CVE-2019-13567 | NVD | 9.8(NVD) 8.8(Talos) 7.5(Zoom) |
CWE-78 | OSコマンドインジェクション | ZSB-19003 |
| 2020/05/04 | CVE-2020-11443 | NVD | 8.1(NVD) 8,4(Zoom) |
CWE-732 CWE-59 |
重要なリソースの不正な権限割り当て 不適切なリンクフォロー |
ZSB-20001 |
| 2020/08/14 | CVE-2020-9767 | NVD | 7.8(NVD) 7.8(Zoom) |
CWE-427 | 制御されていない検索パスの要素 | ZSB-20002 |
| 2021/03/26 | CVE-2021-28133 | NVD | 4.3(NVD) 5.7(Zoom) |
CWE-200 | 情報漏えい | ZSB-21001 |
| 2021/08/13 | CVE-2021-30480 | NVD | 8.1 |
ZSB-21002 | ||
| 2021/09/30 | CVE-2021-33907 | NVD | 7.0 | ZSB-21003 | ||
| 2021/09/30 | CVE-2021-34408 | NVD | 7.0 | ZSB-21004 | ||
| 2021/09/30 | CVE-2021-34409 | NVD | 7.8 |
ZSB-21005 | ||
| 2021/09/30 | CVE-2021-34410 | NVD | 6.6 | ZSB-21006 | ||
| 2021/09/30 | CVE-2021-34411 | NVD | 4.4 | ZSB-21007 | ||
| 2021/09/30 | CVE-2021-34412 | NVD | 4.4 | ZSB-21008 | ||
| 2021/09/30 | CVE-2021-34413 | NVD | 2.8 | ZSB-21009 | ||
| 2021/09/30 | CVE-2021-34414 | NVD | 7.2 |
ZSB-21010 | ||
| 2021/09/30 | CVE-2021-34415 | NVD | 7.5 |
ZSB-21011 | ||
| 2021/09/30 | CVE-2021-34416 | NVD | 5.5 | ZSB-21012 | ||
| 2021/11/09 | CVE-2021-34417 | NVD | 7.9 |
ZSB-21013 | ||
| 2021/11/09 | CVE-2021-34418 | NVD | 4.0 | ZSB-21014 | ||
| 2021/11/09 | CVE-2021-34419 | NVD | 3.7 | ZSB-21015 | ||
| 2021/11/09 | CVE-2021-34420 | NVD | 4.7 | ZSB-21016 | ||
| 2021/11/09 | CVE-2021-34421 | NVD | 3.7 | ZSB-21017 | ||
| 2021/11/09 | CVE-2021-34422 | NVD | 7.2 |
ZSB-21018 | ||
| 2021/11/24 | CVE-2021-34423 | NVD | 7.3 |
ZSB-21019 | ||
| 2021/11/24 | CVE-2021-34424 | NVD | 5.3 | ZSB-21020 | ||
| 2021/12/14 | CVE-2021-34425 | NVD | 4.7 | ZSB-21021 | ||
| 2021/12/14 | CVE-2021-34426 | NVD | 5.3 | ZSB-21022 | ||
| 2022/02/08 | CVE-2022-22779 | NVD | 3.7 | ZSB-22001 | ||
| 2022/02/09 | CVE-2022-22780 | NVD | 4.7 | ZSB-22002 | ||
| 2022/04/27 | CVE-2022-22781 | NVD | 7.5 |
ZSB-22003 | ||
| 2022/04/27 | CVE-2022-22782 | NVD | 7.9 |
ZSB-22004 | ||
| 2022/04/27 | CVE-2022-22783 | NVD | 8.3 |
ZSB-22005 | ||
| 2022/05/17 | CVE-2022-22784 | NVD | 8.1 |
ZSB-22006 | ||
| 2022/05/17 | CVE-2022-22785 | NVD | 5.9 | ZSB-22007 | ||
| 2022/05/17 | CVE-2022-22786 | NVD | 7.5 |
ZSB-22008 | ||
| 2022/05/17 | CVE-2022-22787 | NVD | 5.9 | ZSB-22009 | ||
| 2022/06/14 | CVE-2022-22788 | NVD | 7.1 |
ZSB- 22010 | ||
| 2022/06/14 | CVE-2022-28749 | NVD | 4.3(NVD) 6.5(Zoom) |
CWE-863 | 不正な認証 | ZSB- 22011 |
| 2022/08/09 | CVE-2022-28750 | NVD | 7.5 |
CWE-121 | スタックバッファオーバーフロー | ZSB- 22012 |
| 2022/08/09 | CVE-2022-28751 | NVD | 7.8(NVD) 8.8(Zoom) |
CWE-347 | デジタル署名の不適切な検証 | ZSB-22013 |
| 2022/08/09 | CVE-2022-28752 | NVD | 7.8(NVD) 8.8(Zoom) |
CWE-347 | デジタル署名の不適切な検証 | ZSB- 22014 |
| 2022/08/09 | CVE-2022-28753 | NVD | 7.1 |
CWE-284 | 不適切なアクセス制御 | ZSB- 22015 |
| 2022/08/09 | CVE-2022-28754 | NVD | 7.1 |
CWE-284 | 不適切なアクセス制御 | ZSB- 22016 |
| 2022/08/09 | CVE-2022-28755 | NVD | 9.6(CNA) 8.8(Zoom) |
CWE-20 | 不適切な入力検証 | ZSB- 22017 |
| 2022/08/13 | CVE-2022-28756 | NVD | 7.8(NVD) 8.8(Zoom) |
CWE-347 | 暗号化署名の不適切な検証 | ZSB- 22018, *1 *2 *3 |
| 2022/08/17 | CVE-2022-28757 | NVD | 7.8(NVD) 8.8(Zoom) |
CWE-345 | データの信頼性についての不十分な検証 | ZSB- 22019 |
| 2022/09/13 | CVE-2022-28758 | NVD | 8.2(Zoom) | CWE-284 | 不適切なアクセス制御 | ZSB- 22020 |
| 2022/09/13 | CVE-2022-28759 | NVD | 8.6(NVD) 8.2(Zoom) |
CWE-284 | 不適切なアクセス制御 | ZSB- 22020 |
| 2022/09/13 | CVE-2022-28760 | NVD | 6,5(Zoom) | CWE-284 | 不適切なアクセス制御 | ZSB- 22021 |
| 2022/10/11 | CVE-2022-28761 | NVD | 6.5(NVD) 6.5(Zoom) |
CWE-284 | 不適切なアクセス制御 | ZSB-22022 |
| 2022/10/11 | CVE-2022-28762 | NVD | 7.3(NVD) |
CWE-16 | 環境設定 | ZSB-22023 |
| 2022/10/24 | CVE-2022-28763 | NVD | 9.8(NVD) 8.8(Zoom) |
CWE-601 CWE-20 |
オープンリダイレクト 不適切な入力確認 |
ZSB-22024 |
| 2022/11/10 | CVE-2022-28764 | NVD | 3.3(Zoom) | CWE-459 CWE-200 |
ZSB-22025 | |
| 2022/11/15 | CVE-2022-28766 | NVD | 7.3(NVD) 3.3(Zoom) |
CWE-427 CWE-94 |
制御されていない検索パスの要素 コード・インジェクション |
ZSB-22027 |
| 2022/11/15 | CVE-2022-28768 | NVD | 8.8(Zoom) |
CWE-362 CWE-689 |
ZSB-22029 | |
| 2022/11/15 | CVE-2022-36924 | NVD | 7.8(NVD) 8.8(Zoom) |
CWE-427 | 制御されていない検索パスの要素 | ZSB-22030 |
【ニュース】
■2019年
◇2019年7月
◆リモート会議システム「Zoom」のMac用クライアントにユーザーの許可なしにMacのカメラが有効になってしまう脆弱性が発見される。 (AAPL Ch., 2019/07/09)
https://applech2.com/archives/20190709-zoom-client-for-mac-camera-hijack.html
https://vul.hatenadiary.com/entry/2019/07/09/000000
◆ビデオ会話ソフト「Zoom」にユーザーの許可なくカメラが有効化される脆弱性が発見される (Gigazine, 2019/07/10 19:00)
https://gigazine.net/news/20190710-mac-zoom-camera-vulnerability/
⇒ https://vul.hatenadiary.com/entry/2019/07/10/000000
◆アップルがビデオ会議システムZoomの隠しサーバーを削除するアップデートを静かにプッシュ配信 (TechCrunch, 2019/07/11)
https://jp.techcrunch.com/2019/07/11/2019-07-10-apple-silent-update-zoom-app/
⇒ https://vul.hatenadiary.com/entry/2019/07/11/000000
■2020年
◇2020年4月
◆元NSAの専門家がZoomのMac乗っ取り脆弱性を警告、Zoomからは回答なし (TechCrunch, 2010/04/02)
https://jp.techcrunch.com/2020/04/02/2020-04-01-zoom-doom/
⇒ https://vul.hatenadiary.com/entry/2020/04/02/000000_1
◆Windows版Zoomにユーザー名やパスワード漏洩の脆弱性。メッセージに書かれた外部アドレスに注意 (Engadget, 2020/04/02)
https://japanese.engadget.com/jp-2020-04-02-windows-zoom.html
⇒ https://vul.hatenadiary.com/entry/2020/04/02/000000
◇2020年7月
◆Zoom Confirms Zero-Day Security Vulnerability For Windows 7 Users (Forbes, 2020/07/10 04:47)
[Zoom、Windows 7ユーザーに対するゼロデイセキュリティの脆弱性を確認]
https://www.forbes.com/sites/daveywinder/2020/07/10/zoom-confirms-zero-day-security-vulnerability-for-windows-7-users
⇒ https://vul.hatenadiary.com/entry/2020/07/10/000000_2
◆「Zoom」のWindows版クライアントにゼロデイ脆弱性--修正へ (CNet, 2020/07/10 10:39)
https://japan.cnet.com/article/35156579/
⇒ https://vul.hatenadiary.com/entry/2020/07/10/000000_1
◆Zoom Flaw Could Have Allowed Hackers To Crack Meeting Passcodes (ThreatPost, 2020/07/30 17:40)
[ズームの欠陥により、ハッカーは会議のパスコードを解読することができた可能性がある]
https://threatpost.com/zoom-flaw-could-have-allowed-hackers-to-crack-meeting-passcodes/157883/
⇒ https://vul.hatenadiary.com/entry/2020/07/30/000000_4
◆オンライン会議ツールのZoomに「攻撃者がわずか数分で非公開の会議にアクセスできる脆弱性」があったとの報告 (Gigazine, 2020/07/30 12:00)
https://gigazine.net/news/20200730-zoom-cracking-private-meeting-passwords/
⇒ https://vul.hatenadiary.com/entry/2020/07/30/000000
■2021年
◇2021年4月
◆Zoom、脆弱性によりPCを乗っ取られる危険があったことを認める (Gizmode, 2021/04/14 08:00)
https://www.gizmodo.jp/2021/04/security-hole-in-zoom-chat.html
⇒ https://vul.hatenadiary.com/entry/2021/04/14/000000_2
◇2021年11月
◆Zoomクライアントに2件の脆弱性、最新版へのアップデートを (マイナビニュース, 2021/11/30 11:52)
https://news.mynavi.jp/article/20211130-2208738/
⇒ https://vul.hatenadiary.com/entry/2021/11/30/000000
◆Zoomに深刻度「重要」の脆弱性 アプリケーションにクラッシュを引き起こす可能性 (ITmedia, 2021/11/30 14:36)
https://www.itmedia.co.jp/enterprise/articles/2112/01/news036.html
⇒ https://vul.hatenadiary.com/entry/2021/11/30/000000_3
◆Zoomに複数脆弱性、クライアントやSDKなど広く影響 (Security NEXT, 2021/11/30)
https://www.security-next.com/132018
⇒ https://vul.hatenadiary.com/entry/2021/11/30/000000_2
■2022年
◇2022年5月
◆Zoomに4件の脆弱性、最新バージョンへのアップデートを (マイナビニュース, 2022/05/27 08:53)
https://news.mynavi.jp/techplus/article/20220527-2352418/
⇒ https://vul.hatenadiary.com/entry/2022/05/27/000000
◇2022年6月
◆オンライン会議「Zoom」に複数の脆弱性 - 主催者許可なく参加可能に (Security NEXT, 2022/06/16)
https://www.security-next.com/137370
⇒ https://vul.hatenadiary.com/entry/2022/06/16/000000_1
◇2022年8月
◆The Zoom installer let a researcher hack his way to root access on macOS (The Verge, 2022/08/12 16:25)
[Zoom インストーラーにより、研究者は macOS で root アクセスへの道をハッキングすることができました]Zoom has issued a patch, but the researcher says it’s incomplete
[Zoomはパッチを発行しましたが、研究者はそれが不完全であると言います]https://www.theverge.com/2022/8/12/23303411/zoom-defcon-root-access-privilege-escalation-hack-patrick-wardle
⇒ https://vul.hatenadiary.com/entry/2022/08/12/000000
◆Zoomに深刻な脆弱性、悪意ある会議URL開くと攻撃受けるおそれも (Security NEXT, 2022/08/12)
https://www.security-next.com/138859
⇒ https://vul.hatenadiary.com/entry/2022/08/12/000000_3
◆ZoomのインストーラーにはmacOSのroot権限を取得できるバグがあるとセキュリティ研究者が指摘 (Gigazine, 2022/08/13 19:00)
https://gigazine.net/news/20220813-zoom-installer-hack-root-access-macos/
⇒ https://vul.hatenadiary.com/entry/2022/08/13/000000
◆オンライン会議アプリ「Zoom」のMac版にあらたな脆弱性が判明 (Security NEXT, 2022/08/16)
https://www.security-next.com/138901
⇒ https://vul.hatenadiary.com/entry/2022/08/16/000000_1
◆Mac版Zoomに緊急セキュリティ更新 DEF CONで発表のエクスプロイトに対処 (ITmedia, 2022/08/16 09:36)
https://www.itmedia.co.jp/news/articles/2208/16/news080.html
⇒ https://vul.hatenadiary.com/entry/2022/08/16/000000_2
◇2022年9月
◆Zoomオンプレミス版に脆弱性 - 会議を盗聴されるおそれ (Security NEXT, 2022/09/16)
https://www.security-next.com/139790
⇒ https://vul.hatenadiary.com/entry/2022/09/16/000000
◇2022年10月
◆Zoomの複数製品に脆弱性 - 最新版に更新を (Security NEXT, 2022/10/14)
https://www.security-next.com/140520
⇒ https://vul.hatenadiary.com/entry/2022/10/14/000000
【関連情報】
◆Security Bulletin (Zoom)
https://explore.zoom.us/en/trust/security/security-bulletin/
【関連まとめ記事】
◆アプリケーション (まとめ)
https://vul.hatenadiary.com/entry/Application