脆弱性

ビデオ会議「ZOOM」のMac版において、ビデオ通話中にWebサイトがユーザーの許可を得ずにMac上のカメラにアクセスすることが可能になる脆弱性が発見されました

この問題は、ZoomがMac上にWebサーバをインストールして実行し、通常のブラウザでは受けられない要求を受け入れることができるという事実から生じています

さらに悪いことに、ユーザーが自分のMacから「zoomを」アンインストールしたとしても、Webサーバは存在し続け、どんなWebサイトもどんな種類のユーザ介入もなしにそれにZoomクライアントをインストールすることができます

This Zoom vulnerability is bananas. I tried one of the proof of concept links and got connected to three other randos also freaking out about it in real time. https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf

— Matt Haughey (@mathowie) July 9, 2019

この脆弱性により、ハッカーは Web サイトを使用して、存在しないビデオコールへの参加を継続的に要求することで、Mac に対する DOS (サービス拒否) 攻撃を引き起こすことも可能になります

セキュリティ研究者のJonathan Leitschuhはもともと2019年3月26日にZoomの脆弱性を明らかにし、そして会社がより良い解決策を見つけることを回避するまで彼の側からの迅速な修正も含んでいました

ZOOMはこの脆弱性を確認するのに10日かかり、パッチをあてるのは非常に遅く、90 日間のタイムラインが終わった後でも、同社はセキュリティ研究者が最初に提案したクイックフィックスソリューションのみを実装しています

ZOOMはビデオ会議のために世界中の企業で使用されているので、これは大きな脆弱性です

ZOOMビデオ通話に参加したときに、メニューの「zoom.us」>「設定」>「ビデオ」から「ミーティングの参加の際にマイビデオをオフにします」を有効にすること、でカメラを自動的にオンにするオプションを無効にすることもできます

(Via ZDNet.)