Tenableはこのほど、同社の研究者であるDavid Wells氏がデスクトップ会議アプリケーション「Zoom」の脆弱性(CVE-2018-15715)を発見したと発表した。

この脆弱性を悪用されると、攻撃者は画面コントロールを乗っ取り、チャットメッセージを偽装したり、出席者を会議から退出させたり、出席できないようにしたりすることが可能になるという。

同社はこの脆弱性が悪用されるシナリオとして、「Zoom会議の出席者が不正行為を行う」「ローカルアクセスネットワーク(LAN)上の攻撃者または、広域ネットワーク(WAN)上のリモート攻撃者が、進行中のZoom会議を乗っ取る」ことを挙げている。ただし、 WAN上のリモートからの乗っ取りは仕組みが複雑なため、完全にテストできなかったという。

Tenableが攻撃可能と特定したシステムは、以下のとおり。

  • macOS 10.13、Zoom 4.1.33259.0925
  • Windows 10、Zoom 4.1.33259.0925
  • Ubuntu 14.04, Zoom 2.4.129780.0915

Zoomはこの脆弱性を修正するため、バージョン4.1.34814.1119(Windows)およびバージョン4.1.34801.1116(macOS)をリリースしているので、脆弱性の影響を受けるバージョンを利用している場合はアップデートすることが推奨される。