マイキー・キャンベル
· 2分で読めます
ビデオ会議サービス「Zoom」のMacクライアントに、ユーザーのカメラ映像に簡単にアクセスできるゼロデイ脆弱性があることが発覚し、メディアで大きく報道されたことを受けて、同社は火曜日に方針を転換し、脆弱性に対する修正プログラムをリリースする予定であると発表した。
Zoomの公式ブログの投稿で発表された緊急セキュリティパッチでは、同社がSafari 12の保護メカニズムを回避するために使用しているローカルWebサーバーが削除され、ユーザーはアプリを完全にアンインストールできるようになる。
この動きは、Zoomにとって方針転換となる。同社はつい先日火曜日、どちらの措置も実施は困難だと述べていた。Zoomは以前、ユーザーエクスペリエンスの合理化を優先し、Safariに組み込まれたセキュリティプロトコルを回避するためにローカルホストサーバーを使用していることを擁護していた。
Appleの最新Safari 12では、ウェブサイトやリンクが外部アプリを起動しようとする際に、ダイアログボックスで操作する必要があります。洗練されたユーザーエクスペリエンスとワンクリックでビデオ会議に参加できることを誇りとするZoomは、バックグラウンドプロセスとして常時実行されるローカルホストサーバーを構築するという回避策を開発しました。
セキュリティ研究者のジョナサン・ライチュー氏が詳述しているように、悪質なウェブサイトはローカルウェブサーバーを悪用し、単純な起動アクションやiframeの脆弱性を利用してビデオ通話を開始し、Macのウェブカメラを自動的に起動してユーザーの同意なしに会議に接続することができます。ZoomのMacクライアントはすべて、Safari、Chrome、Firefoxを通じて脆弱性を悪用されますが、ソフトウェアの設定メニューで「会議参加時にビデオをオフにする」オプションにチェックを入れていない限り、脆弱性が存在します。
潜在的に望ましくないウェブカメラへのアクセスを許可するだけでなく、Zoom がアンインストールされた場合でもローカル サーバーはホスト マシン上に残り、ユーザーの介入なしにクライアント アプリを再インストールできます。
Zoomは当初、サーバー機能を削除するつもりはないと述べていたが、CEOのエリック・ユアン氏が月曜日にライチュー氏とZoomコミュニティの複数のメンバーと「パーティーチャット」でセキュリティ上の懸念について話し合った後、考えを変えたようだ。Zoomを通じて行われたこの会議は誰でも参加でき、セキュリティ研究者の元の報告書に記載された概念実証リンクからアクセスできた。
Zoomの火曜日のパッチには、ローカルホストサーバーの削除に加え、Macクライアントを完全にアンインストールするためのメニューバーオプションも追加されます。同社は火曜日の早い段階で、「Zoomクライアントと、クライアントを起動するMac上のZoomローカルウェブサーバーアプリの両方をユーザーが簡単に削除できる方法」はないと述べ、このプロセスはターミナルを使って手動で行う必要があると説明していました。
パッチは今夜遅くに到着する予定です。
