Zoomがハッカーによるアカウント乗っ取りを可能にする重大なセキュリティ脆弱性を修正


  • Zoomは、複数のWindowsクライアントおよびSDKにおいてリモートからのアカウント乗っ取りを可能にする、重大な不適切な入力検証の脆弱性を修正しました
  • その他にも、CVE-2026-53410(TOCTOUレースコンディション)、CVE-2026-53409(権限管理の不備)、CVE-2026-53411(入力検証の問題)といった深刻度の高い脆弱性が修正されています
  • すべての脆弱性はZoom社内で発見されたもので、悪用の証拠は確認されていませんが、利用者にはZoom Workplaceおよび関連製品を最新版に更新するよう呼びかけています

Zoomは、複数の製品に存在していた脆弱性を修正しました。この脆弱性は、脅威アクターがユーザーのアカウントを遠隔から乗っ取ることを可能にするもので、深刻度は「重大」レベルとされていました。

セキュリティアドバイザリの中でZoomは、Zoom Desktop Client for Windows(バージョン7.0.0より前)、Zoom VDI Client for Windows(バージョン7.0.10、6.6.15、6.5.18より前)、Zoom Meeting SDK for Windows(バージョン7.0.0より前)に影響する不適切な入力検証の不具合を修正したと発表しました。ただし、この脆弱性がどのような仕組みで悪用され得るのかについての詳細は明らかにしていません。

この脆弱性は現在CVE-2026-53412として追跡されており、深刻度スコアは9.8/10(重大)とされています。この問題を修正するため、利用者にはソフトウェアを最新バージョンに更新することが推奨されています。

その他の脆弱性

今回最も危険度が高いのはこの脆弱性ですが、Zoomが最近修正したのはこれだけではありません。同社は、深刻度がやや低いものの複数の脆弱性にも対応しています。その一つが、Zoom Workplace for Windows(7.0.5より前)、Zoom Workplace VDI ClientおよびVDI Plugin(6.5.17/6.6.14より前)、Zoom Rooms for Windows(7.0.5より前)、Remote Control for Zoom Contact Center(7.0.0より前)に影響するTOCTOU(time-of-check to time-of-use)レースコンディションの脆弱性です。この脆弱性はCVE-2026-53410として追跡されており、深刻度スコアは「高」の7/10とされています。

その他に注目すべき脆弱性としては、CVE-2026-53409(Zoom Rooms for Windowsのバージョン7.1.0より前に存在する、深刻度「高」の不適切な権限管理の不具合)、および

CVE-2026-53411(Zoom Workplace VDI Pluginのバージョン6.6.14より前のWindows版に影響する、深刻度「高」の不適切な入力検証の不具合)が挙げられます。

これらの脆弱性はすべてZoomが自社内で発見したものであり、これまでに実際の攻撃で悪用された証拠は確認されていないとしています。

Zoom Workplace(同社のオールインワン型コラボレーションプラットフォーム)は、ビデオ会議、チームチャット、電話、メール、カレンダー、スケジューリング、ホワイトボードなど、さまざまな生産性向上ツールを提供しています。これは元々のZoom Meetingsアプリを発展させたもので、現在ではMicrosoft 365やGoogle Workspaceといったプラットフォームと競合しています。

翻訳元: https://www.techradar.com/pro/security/zoom-patches-critical-security-flaw-which-could-have-let-hackers-hijack-accounts

ソース: techradar.com