TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

Zoom (まとめ)

【概要】

■脆弱性リスト

CVE番号
NVD
CVSS v3
CWE
脆弱性
備考
2018/11/30 CVE-2018-15715 NVD
9.8
CWE-20
CWE-290
不適切な入力検証
なりすましによる認証回避
ZSB-18001
2019/07/09 CVE-2019-13449 NVD 6.5 CWE-20 不適切な入力検証 ZSB-19001
2019/07/09 CVE-2019-13450 NVD 6.5 CWE-862 認証の欠落 ZSB-19002
2019/07/12 CVE-2019-13567 NVD
9.8(NVD)
8.8(Talos)
7.5(Zoom)
CWE-78 OSコマンドインジェクション ZSB-19003
2020/05/04 CVE-2020-11443 NVD
8.1(NVD)
8,4(Zoom)
CWE-732
CWE-59
重要なリソースの不正な権限割り当て
不適切なリンクフォロー
ZSB-20001
2020/08/14 CVE-2020-9767 NVD
7.8(NVD)
7.8(Zoom)
CWE-427 制御されていない検索パスの要素 ZSB-20002
2021/03/26 CVE-2021-28133 NVD 4.3(NVD)
5.7(Zoom)
CWE-200 情報漏えい ZSB-21001
2021/08/13 CVE-2021-30480 NVD
8.1
ZSB-21002
2021/09/30 CVE-2021-33907 NVD 7.0 ZSB-21003
2021/09/30 CVE-2021-34408 NVD 7.0 ZSB-21004
2021/09/30 CVE-2021-34409 NVD
7.8
ZSB-21005
2021/09/30 CVE-2021-34410 NVD 6.6 ZSB-21006
2021/09/30 CVE-2021-34411 NVD 4.4 ZSB-21007
2021/09/30 CVE-2021-34412 NVD 4.4 ZSB-21008
2021/09/30 CVE-2021-34413 NVD 2.8 ZSB-21009
2021/09/30 CVE-2021-34414 NVD
7.2
ZSB-21010
2021/09/30 CVE-2021-34415 NVD
7.5
ZSB-21011
2021/09/30 CVE-2021-34416 NVD 5.5 ZSB-21012
2021/11/09 CVE-2021-34417 NVD
7.9
ZSB-21013
2021/11/09 CVE-2021-34418 NVD 4.0 ZSB-21014
2021/11/09 CVE-2021-34419 NVD 3.7 ZSB-21015
2021/11/09 CVE-2021-34420 NVD 4.7 ZSB-21016
2021/11/09 CVE-2021-34421 NVD 3.7 ZSB-21017
2021/11/09 CVE-2021-34422 NVD
7.2
ZSB-21018
2021/11/24 CVE-2021-34423 NVD
7.3
ZSB-21019
2021/11/24 CVE-2021-34424 NVD 5.3 ZSB-21020
2021/12/14 CVE-2021-34425 NVD 4.7 ZSB-21021
2021/12/14 CVE-2021-34426 NVD 5.3 ZSB-21022
2022/02/08 CVE-2022-22779 NVD 3.7 ZSB-22001
2022/02/09 CVE-2022-22780 NVD 4.7 ZSB-22002
2022/04/27 CVE-2022-22781 NVD
7.5
ZSB-22003
2022/04/27 CVE-2022-22782 NVD
7.9
ZSB-22004
2022/04/27 CVE-2022-22783 NVD
8.3
ZSB-22005
2022/05/17 CVE-2022-22784 NVD
8.1
ZSB-22006
2022/05/17 CVE-2022-22785 NVD 5.9 ZSB-22007
2022/05/17 CVE-2022-22786 NVD
7.5
ZSB-22008
2022/05/17 CVE-2022-22787 NVD 5.9 ZSB-22009
2022/06/14 CVE-2022-22788 NVD
7.1
ZSB- 22010
2022/06/14 CVE-2022-28749 NVD 6.5 ZSB- 22011
2022/08/09 CVE-2022-28750 NVD
7.5
CWE-121 スタックバッファオーバーフロー ZSB- 22012
2022/08/09 CVE-2022-28751 NVD
8.8
ZSB- 22013
2022/08/09 CVE-2022-28752 NVD
8.8
ZSB- 22014
2022/08/09 CVE-2022-28753 NVD
7.1
CWE-284 不適切なアクセス制御 ZSB- 22015
2022/08/09 CVE-2022-28754 NVD
7.1
CWE-284 不適切なアクセス制御 ZSB- 22016
2022/08/09 CVE-2022-28755 NVD
9.6(CNA)
8.8(Zoom)
CWE-20 不適切な入力検証 ZSB- 22017
2022/08/13 CVE-2022-28756 NVD
7.8(NVD)
8.8(Zoom)
CWE-347 暗号化署名の不適切な検証 ZSB- 22018, *1 *2 *3
2022/09/13 CVE-2022-28758 NVD 8.2(Zoom) CWE-284 不適切なアクセス制御
2022/09/13 CVE-2022-28759 NVD
2022/09/13 CVE-2022-28760 NVD 6,5(Zoom)


【ニュース】

■2019年

◇2019年7月

◆リモート会議システム「Zoom」のMac用クライアントにユーザーの許可なしにMacのカメラが有効になってしまう脆弱性が発見される。 (AAPL Ch., 2019/07/09)
https://applech2.com/archives/20190709-zoom-client-for-mac-camera-hijack.html
https://vul.hatenadiary.com/entry/2019/07/09/000000

◆ビデオ会話ソフト「Zoom」にユーザーの許可なくカメラが有効化される脆弱性が発見される (Gigazine, 2019/07/10 19:00)
https://gigazine.net/news/20190710-mac-zoom-camera-vulnerability/
https://vul.hatenadiary.com/entry/2019/07/10/000000

◆アップルがビデオ会議システムZoomの隠しサーバーを削除するアップデートを静かにプッシュ配信 (TechCrunch, 2019/07/11)
https://jp.techcrunch.com/2019/07/11/2019-07-10-apple-silent-update-zoom-app/
https://vul.hatenadiary.com/entry/2019/07/11/000000


■2020年

◇2020年4月

◆元NSAの専門家がZoomのMac乗っ取り脆弱性を警告、Zoomからは回答なし (TechCrunch, 2010/04/02)
https://jp.techcrunch.com/2020/04/02/2020-04-01-zoom-doom/
https://vul.hatenadiary.com/entry/2020/04/02/000000_1

◆Windows版Zoomにユーザー名やパスワード漏洩の脆弱性。メッセージに書かれた外部アドレスに注意 (Engadget, 2020/04/02)
https://japanese.engadget.com/jp-2020-04-02-windows-zoom.html
https://vul.hatenadiary.com/entry/2020/04/02/000000


◇2020年7月

◆Zoom Confirms Zero-Day Security Vulnerability For Windows 7 Users (Forbes, 2020/07/10 04:47)
[Zoom、Windows 7ユーザーに対するゼロデイセキュリティの脆弱性を確認]
https://www.forbes.com/sites/daveywinder/2020/07/10/zoom-confirms-zero-day-security-vulnerability-for-windows-7-users
https://vul.hatenadiary.com/entry/2020/07/10/000000_2

◆「Zoom」のWindows版クライアントにゼロデイ脆弱性--修正へ (CNet, 2020/07/10 10:39)
https://japan.cnet.com/article/35156579/
https://vul.hatenadiary.com/entry/2020/07/10/000000_1

◆Zoom Flaw Could Have Allowed Hackers To Crack Meeting Passcodes (ThreatPost, 2020/07/30 17:40)
[ズームの欠陥により、ハッカーは会議のパスコードを解読することができた可能性がある]
https://threatpost.com/zoom-flaw-could-have-allowed-hackers-to-crack-meeting-passcodes/157883/
https://vul.hatenadiary.com/entry/2020/07/30/000000_4

◆オンライン会議ツールのZoomに「攻撃者がわずか数分で非公開の会議にアクセスできる脆弱性」があったとの報告 (Gigazine, 2020/07/30 12:00)
https://gigazine.net/news/20200730-zoom-cracking-private-meeting-passwords/
https://vul.hatenadiary.com/entry/2020/07/30/000000

■2021年

◇2021年4月

◆Zoom、脆弱性によりPCを乗っ取られる危険があったことを認める (Gizmode, 2021/04/14 08:00)
https://www.gizmodo.jp/2021/04/security-hole-in-zoom-chat.html
https://vul.hatenadiary.com/entry/2021/04/14/000000_2


◇2021年11月

◆Zoomクライアントに2件の脆弱性、最新版へのアップデートを (マイナビニュース, 2021/11/30 11:52)
https://news.mynavi.jp/article/20211130-2208738/
https://vul.hatenadiary.com/entry/2021/11/30/000000

◆Zoomに深刻度「重要」の脆弱性 アプリケーションにクラッシュを引き起こす可能性 (ITmedia, 2021/11/30 14:36)
https://www.itmedia.co.jp/enterprise/articles/2112/01/news036.html
https://vul.hatenadiary.com/entry/2021/11/30/000000_3

◆Zoomに複数脆弱性、クライアントやSDKなど広く影響 (Security NEXT, 2021/11/30)
https://www.security-next.com/132018
https://vul.hatenadiary.com/entry/2021/11/30/000000_2


■2022年

◇2022年5月

◆Zoomに4件の脆弱性、最新バージョンへのアップデートを (マイナビニュース, 2022/05/27 08:53)
https://news.mynavi.jp/techplus/article/20220527-2352418/
https://vul.hatenadiary.com/entry/2022/05/27/000000


◇2022年6月

◆オンライン会議「Zoom」に複数の脆弱性 - 主催者許可なく参加可能に (Security NEXT, 2022/06/16)
https://www.security-next.com/137370
https://vul.hatenadiary.com/entry/2022/06/16/000000_1


◇2022年8月

◆The Zoom installer let a researcher hack his way to root access on macOS (The Verge, 2022/08/12 16:25)
[Zoom インストーラーにより、研究者は macOS で root アクセスへの道をハッキングすることができました]

Zoom has issued a patch, but the researcher says it’s incomplete
[Zoomはパッチを発行しましたが、研究者はそれが不完全であると言います]

https://www.theverge.com/2022/8/12/23303411/zoom-defcon-root-access-privilege-escalation-hack-patrick-wardle
https://vul.hatenadiary.com/entry/2022/08/12/000000

◆Zoomに深刻な脆弱性、悪意ある会議URL開くと攻撃受けるおそれも (Security NEXT, 2022/08/12)
https://www.security-next.com/138859
https://vul.hatenadiary.com/entry/2022/08/12/000000_3

◆ZoomのインストーラーにはmacOSのroot権限を取得できるバグがあるとセキュリティ研究者が指摘 (Gigazine, 2022/08/13 19:00)
https://gigazine.net/news/20220813-zoom-installer-hack-root-access-macos/
https://vul.hatenadiary.com/entry/2022/08/13/000000

◆オンライン会議アプリ「Zoom」のMac版にあらたな脆弱性が判明 (Security NEXT, 2022/08/16)
https://www.security-next.com/138901
https://vul.hatenadiary.com/entry/2022/08/16/000000_1

◆Mac版Zoomに緊急セキュリティ更新 DEF CONで発表のエクスプロイトに対処 (ITmedia, 2022/08/16 09:36)
https://www.itmedia.co.jp/news/articles/2208/16/news080.html
https://vul.hatenadiary.com/entry/2022/08/16/000000_2


◇2022年9月

◆Zoomオンプレミス版に脆弱性 - 会議を盗聴されるおそれ (Security NEXT, 2022/09/16)
https://www.security-next.com/139790
https://vul.hatenadiary.com/entry/2022/09/16/000000


【関連情報】

◆Security Bulletin (Zoom)
https://explore.zoom.us/en/trust/security/security-bulletin/


【関連まとめ記事】

全体まとめ

◆アプリケーション (まとめ)
https://vul.hatenadiary.com/entry/Application


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022