macOS向けセキュリティアップデート配信。Webカメラが勝手に起動される脆弱性を修正

「1クリック」を守るためセキュリティホールを作っていたという

Kiyoshi Tane
Kiyoshi Tane
2019年07月17日, 午後 03:20 in apple
0シェア
FacebookTwitter
zoom
アップルは先日、macOS用ビデオ会議アプリ「Zoom」に許可なくユーザーのWebカメラを起動する脆弱性があるとしてセキュリティアップデートを配信しました

そして17日(米現地時間)、Zoomアプリの技術を利用したビデオ会議アプリ「RingCentral」と「Zhumu」に関する同様の脆弱性を修正するため、2度目のセキュリティアップデートを配信したと報じられています。もともとZoomアプリの脆弱性は、セキュリティ研究者のJonathan Leitschuh氏が8日に公開したもの。本アプリはURLをクリックするだけでビデオ会議に直接参加できることが知られています。そしてLeitschuh氏はZoomアプリがインストールされている環境では、Webページにアクセスするだけでユーザーは強制的に会議に参加させられ、許可なくWebカメラが起動できることを報告しました。

さらに無効な会議にユーザーをくり返し参加させることで、任意のWebページがMacにDoS(Denial of Service)攻撃を仕掛けられることも指摘。Leitschuh氏は3月下旬にZoom社に問題を連絡して90日の猶予を与えたが、脆弱性が修正されなかったために公開したと述べています。

より大きな問題は、MacからZoomアプリを削除しても問題は解決しなかったこと。本アプリはMac上にローカルWebサーバーをインストールするため、ユーザーの許可なくZoomアプリが再インストールされる可能性があるからです。

なぜZoom社がこうした仕様にしたかといえば、アップルが2018年9月にリリースした「Safari 12」のセキュリティを回避するため。その際にSafariは、サードパーティのアプリを開くごとにユーザーの承認を必要とするよう変更されました。しかしZoom社はあくまで「1クリック」の快適さを守りたかったため、Mac内にWebサーバーをインストールし、ユーザーに代わって自動的にアクセスを承認させたわけです。

その後Zoom社はMacからWebサーバーを削除するパッチをリリースしましたが、アップルも同様の目的でmacOSアップデートを配信したしだいです。

海外テックメディアThe Vergeによれば、今回のアップルによるセキュリティアップデートも前回と同様に自動アップデート。つまりユーザー側で手動によりアップデートを適用する必要はありません。アップルは今後も、全てのZoom社と提携したパートナー各社のアプリについても問題を解決する予定だと伝えられています。
 
 

TechCrunch 注目記事新型コロナのソーシャルディスタンスを支援するビデオチャットアプリ8選

新型コロナウイルス 関連アップデート[TechCrunch]
関連キーワード: apple, MacOs, security, update, webcamera
0シェア
FacebookTwitter

Sponsored Contents