ビデオ会議サービスZoomのMacクライアントに、ユーザーのカメラフィードへの簡単なアクセスを可能にするゼロデイ脆弱性が存在し、メディアで広く報道されたことを受けて、同社は火曜日に方針を転換し、この脆弱性に対する修正版を発行する予定であると発表した。
Zoomの公式ブログへの投稿で発表された、緊急セキュリティパッチローカル Web サーバーを削除します同社は Safari 12 の保護メカニズムをバイパスするために使用しており、ユーザーがアプリを完全にアンインストールできるようにしています。
この動きはZoomにとって方針転換であり、Zoomは火曜日までに両方の行動の実行は困難であると述べていた。 Zoomは以前、合理化されたユーザーエクスペリエンスを優先して、内蔵のSafariセキュリティプロトコルをバイパスするためにローカルホストサーバーを使用していると主張した。
Apple の最新の Safari 12 では、Web サイトまたはリンクが外部アプリを起動しようとする場合、ユーザーはダイアログ ボックスを操作する必要があります。合理化された UX とワンクリックでビデオ会議に参加できることを誇りとする Zoom は、バックグラウンド プロセスとして常に実行されるローカル ホスト サーバーを作成する回避策を開発しました。
セキュリティ研究者の Jonathan Leitschuh 氏が詳しく説明しているように、悪質な Web サイトは活用できるローカル Web サーバーを使用して、簡単な起動アクションまたは iframe エクスプロイトでビデオ通話をトリガーし、Mac の Web カメラを自動的にアクティブにして、ユーザーの同意なしに会議に接続します。ソフトウェアの設定メニューで「会議に参加するときにビデオをオフにする」オプションがオンになっていない限り、すべての Zoom Mac クライアントは、Safari、Chrome、Firefox を通じて脆弱です。
望ましくない可能性のある Web カメラへのアクセスを許可することに加えて、Zoom がアンインストールされてもローカル サーバーはホスト マシン上に残り、ユーザーの操作なしでクライアント アプリを再インストールできます。
Zoomは当初、サーバー機能は削除しないと述べていたが、CEOのエリック・ユアン氏がセキュリティ上の懸念について話したことを受けて、同社は考えを変えたようだ。「パーティーチャット」で月曜日にLeitschuhとZoomコミュニティのさまざまなメンバーと。その会議は、Zoomで実施、すべての参加者に公開されており、セキュリティ研究者のサイトに提供されている概念実証リンクを通じてアクセスできました。オリジナルレポート。
ローカルホストサーバーの削除に加えて、Zoom の火曜日のパッチには、Mac クライアントを完全にアンインストールするメニューバーのオプションも含まれます。同社は火曜日初め、「ユーザーがZoomクライアントとクライアントを起動するMac上のZoomローカルWebサーバーアプリの両方を削除できる簡単な方法」がないと述べ、このプロセスはターミナルを介して手動で完了する必要があると述べた。
パッチは今夜遅くに到着する予定です。
Isamu 
Isamu 
Isamu