知名度の高さ、ユーザの多さと、本件の脆弱性のまとまった数の発表とから、Zoomだけ特別編として掲示します。関係者は「出典」から解決策(多くはupdate)を実施下さい。
◆zoom -- client_for_meetings
バージョン5.10.0以前のWindows版Zoom Client for Meetingsおよびバージョン5.10.0以前のWindo
この問題は、ユーザーを騙してZoomクライアントをより安全で
NIST: NVD Base Score: 8.8 HIGH Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/
Zoom Client for Meetings(Android、iOS、Linux、Mac
この問題を利用すると、悪意のあるユーザーが現在のXMPPメッ
この問題は、サーバーからXMPPメッセージを偽造する、
CNA: Zoom Video Communications, Inc. Base Score: 8.1 HIGH
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/
Zoom Client for Meetings(Android、iOS、Linux、Mac
NIST: NVD
Base Score: 9.1 CRITICAL
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/
攻撃元区分(AV) = ネットワーク(N)
攻撃条件の複雑さ(AC) = 低(L)
必要な特権レベル(PR) = 不要(N)
ユーザ関与レベル(UI) = 不要(N)
CNA: Zoom Video Communications, Inc.
Base Score: 5.9 MEDIUM
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/
※ Zoom社自身によるリスク評価は甘目。
結果的に Medium → Critical へと2段階 深刻な評価に落ち着いた。
こういう事もあるので、制作・販売ベンダーの評価だけで安心しないようにしたい。
バージョン5.10.0以前のZoom Client for Meetings(Android、iOS、Linux、mac
この問題は、より高度な攻撃で使用される可能性があり、
NIST: NVD
Base Score: 7.5 HIGH
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/
CNA: Zoom Video Communications, Inc.
Base Score: 5.9 MEDIUM
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/
※ Zoom社自身によるリスク評価は甘目である。
YouTube編
https://www.youtube.com/watch?v=oVINYGjtoWk
流して聞きたい方向けに、YouTube作ってみました。
出典
Bulletin (SB22-143)
Vulnerability Summary for the Week of May 16, 2022 (release date: May 24)
No comments:
Post a Comment