Google Project ZeroチームのNatalie Silvanovich氏は1月18日(米国時間)、「Project Zero: Zooming in on Zero-click Exploits」において、ビデオ会議ソフトウェア「Zoom」に存在していたゼロデイセキュリティ脆弱性の詳細情報を公開した。このセキュリティ脆弱性は2021年11月24日にリリースされたバージョンで既に修正されている。
-
Project Zero: Zooming in on Zero-click Exploits
脆弱性の詳細は先ほどのページに加え、次のページにおいても確認できる。
これらの脆弱性を悪用することはそれほど簡単ではないように見えるが、脆弱性の深刻度はCVE-2021-34423はCVSSv3で9.8の緊急(Critical)、CVE-2021-34424は7.5で重要(High)と評価されており注意が必要。詳細情報が公開された脆弱性はその後悪用される可能性が高まることから、Zoomの該当製品を使用している場合は問題が修正された最新版へアップデートしておくことが望まれる。
研究者はこの脆弱性を突き止めるにあたり、Zoomの閉鎖的な性質が作業を難しいものにしていたと指摘。オープンソースのプラットフォームを使っている場合と比べてセキュリティ研究への取り組みが難しい面があり、Zoomに対してセキュリティ研究者や評価を希望するユーザーが同社のプラットフォームにアクセスできるように取り組んでもよいのではないかとコメントしている。
