Zoomは2025年8月12日、Windows向けクライアントに存在する2つの脆弱性(CVE-2025-49456、CVE-2025-49457)を修正するセキュリティアップデートを公開しました。いずれも悪用されればアプリケーションの改ざんや特権昇格が可能となる恐れがあり、利用者に対して速やかなアップデートが呼びかけられています。
CVE-2025-49456:インストーラーのレースコンディション
CVE-2025-49456(CVSSスコア:6.2)は、Windows版Zoomクライアントのインストーラーにおけるレースコンディションの脆弱性です。Zoomによれば、ローカルアクセス権を持つ認証されていないユーザーが、インストール処理中にアプリケーションファイルを改ざんすることでアプリケーションの完全性に影響を与える可能性があります。
この脆弱性は以下の製品が対象です。
-
Zoom Workplace for Windows(6.4.10未満)
-
Zoom Workplace VDI for Windows(6.3.12未満、ただし6.2.15を除く)
-
Zoom Rooms for Windows(6.4.5未満)
-
Zoom Rooms Controller for Windows(6.4.5未満)
-
Zoom Meeting SDK for Windows(6.4.10未満)
CVE-2025-49457:アン・トラステッドサーチパス
より深刻なCVE-2025-49457(CVSSスコア:9.6)は、アン・トラステッドサーチパスの脆弱性で、ネットワークアクセスを介して特権昇格が可能となる恐れがあります。攻撃者が正規ファイルより先に検索される場所に悪意のあるファイルを置くことで、アプリケーションが誤ってそれを実行し、高い権限を取得される可能性があります。
対策と推奨事項
両脆弱性は最新バージョンで修正済みであり、Zoomは公式ダウンロードセンター(https://zoom.us/download)からのアップデートを強く推奨しています。特にインストーラーのレースコンディションはローカル攻撃が前提ですが、アン・トラステッドサーチパスはネットワーク経由の攻撃も想定されるため、早急な対応が必要です。








