マイキー・キャンベル
· 2分で読めます
Appleは水曜日、ビデオ会議アプリ「Zoom」が作成したローカルホストサーバーを削除し、望ましくないウェブカメラアクセスの脅威からユーザーを保護するMacユーザー向けの自動アップデートをリリースした。
Appleによると、サイレントアップデートは、アプリ自体の動作に影響を与えることなく、最近発見されたウェブサーバーの脆弱性からすべてのZoomユーザーを保護するとTechCrunchは報じている。
Zoom の以前のバージョンでは、Safari 12 の一部として導入されたセキュリティ プロトコルを回避するために、ローカル ホスト Web サーバーがインストールされていました。
Appleのウェブブラウザは、悪意のある攻撃者からユーザーを保護するため、ウェブサイトやリンクが外部アプリを起動しようとすると、ダイアログボックスでの操作を求めています。Zoomは、ワンクリックで開くというシンプルなユーザーエクスペリエンスを求めて、Safariの機能を回避し、Macクライアントパッケージにひそかにローカルウェブサーバーを組み込んでいました。
Zoom の実装に欠陥があり、アプリ、そしてその後ソフトウェアをインストールしたすべての Mac 所有者が攻撃にさらされることになった。
セキュリティ研究者のジョナサン・ライチュー氏は今週、ゼロデイ脆弱性の詳細を公開しました。ライチュー氏は、ウェブサイトに単純な起動アクションやiframeを埋め込むだけで、Macのウェブカメラが有効になった状態でユーザーをZoomミーティングに自動的に誘導できることを発見しました。この脆弱性はウェブサーバーに存在し、アプリ自体には影響がないため、SafariだけでなくChromeやFirefoxでも攻撃が可能です。
さらに、Zoom がアンインストールされた後も Web サーバーはホスト Mac 上に残り、ユーザーの介入なしにクライアント アプリを再インストールすることができました。
ライチュー氏の報告とメディアからの厳しい監視を受け、Zoomは火曜日に緊急アップデートでこの脆弱性を修正することを決定しました。アップデートの一環として、Zoomはローカルホストサーバーを削除し、ターミナルを経由せずにアプリの残存部分をすべて完全にアンインストールできるオプションを提供することを約束しました。
Appleは水曜日に自社ツールを通じてサーバーを削除することを決定した。報道によると、ZoomはMacのアップデートについて通知を受けたようだ。
「今回のアップデートのテストにおいてAppleと協力できたことを嬉しく思います。ウェブサーバーの問題は本日中に解決する見込みです」と、Zoomの広報担当者プリシラ・マッカーシー氏はTechCrunchに語った。「ユーザーの皆様には、引き続き懸念事項への対応に取り組んでまいりますので、ご理解とご協力をお願いいたします。」
Appleは通常、深刻なマルウェア問題の解決やユーザーセキュリティの強化を目的として、Macオペレーティングシステムのサイレント自動アップデートを実施しています。この仕組みが特定のサードパーティ製アプリを標的とすることは稀ですが、今回の修正はZoomの無防備なウェブサーバーからユーザーを保護するために開始されたとAppleはTechCrunchに伝えています。
