アップルニュース

Zoom Video Conferenceアプリの深刻な脆弱性により、WebサイトがMacWebカメラを乗っ取る可能性がある[更新]

の深刻なゼロデイ脆弱性 ズーム Mac用のビデオ会議アプリは、セキュリティ研究者のJonathanLeitschuhによって本日公開されました。

ミディアムポスト 、Leitschuhは、Webページにアクセスするだけで、ZoomアプリがインストールされているMacでサイトが強制的にビデオ通話を開始できることを示しました。

isight
この欠陥は、ZoomアプリがMacにインストールするWebサーバーが、「通常のブラウザでは受け入れられない要求を受け入れる」ことに一部起因していると言われています。 ザ・ヴァージ 、独立して脆弱性を確認しました。

さらに、Leitschuhは、Zoomの古いバージョン(パッチが適用されているため)では、この脆弱性により、ユーザーを無効な呼び出しに繰り返し参加させることにより、MacのDOS(サービス拒否)へのWebページを許可したと述べています。 Leitschuhによると、Zoomには「十分な自動更新機能」がないため、これは依然として危険である可能性があります。そのため、ユーザーはまだ古いバージョンのアプリを実行している可能性があります。

Leitschuh氏は、3月下旬にZoomに問題を開示し、問題を修正するために90日を与えたと述べましたが、セキュリティ研究者は、脆弱性がまだアプリに残っていると報告しています。

Zoom開発者が脆弱性について何かをするのを待つ間、ユーザーは、Zoomが会議に参加するときにMacのカメラをオンにする設定を無効にすることで、脆弱性を防ぐための措置を講じることができます。

ZoomはローカルホストWebサーバーをバックグラウンドプロセスとしてインストールし、Webページにアクセスする以外にユーザーの操作を必要とせずにMacにZoomクライアントを再インストールできるため、アプリをアンインストールするだけでは役に立たないことに注意してください。

役立つことに、Leitschuhの底 ミディアムポスト Webサーバーを完全にアンインストールする一連のターミナルコマンドが含まれています。

アップデート: に与えられた声明で ZDNet 、Zoomは、Safari 12で導入された変更の「回避策」として、MacでのローカルWebサーバーの使用を擁護しました。同社は、ローカルサーバーをバックグラウンドで実行することは、ユーザーエクスペリエンスの低下に対する正当な解決策であると感じたと述べています。ユーザーがシームレスなワンクリックで参加できるようにすることで、当社の主要な製品の差別化要因となっています。

アップデート2: ズームはもはや防御的な姿勢をとっておらず、 パッチをリリースしました

タグ:セキュリティ、ズーム