Apple、Zoom関連の更なる脆弱性に対処するため、Macソフトウェアの自動アップデートを再度推進

Apple は本日、macOS 用 Zoom ビデオ会議アプリに関連するさらなる脆弱性に対処するために、Mac に 2 回目のサイレント セキュリティ アップデートをプッシュしたと The Verge が報じています。

Appleは、Zoomのテクノロジーに依存しており、Zoomと 同じ脆弱性 があることが判明した2つのビデオ会議アプリであるRingCentralとZhumuによってインストールされたソフトウェアを今週初めに削除した。

これら 2 つのアプリは、ビデオ会議中に Web サイトが許可なく Web カメラを開くことを可能にするコマンドに応答できるソフトウェアをインストールしていました。アプリを削除しても、悪用に対して脆弱な二次ソフトウェアは削除されませんでした。Zoom も同様に動作しました。

先週 発見された Zoom の脆弱性により、Zoom がバックグラウンドでインストールした Web サーバーが原因で、Zoom アプリがインストールされた Mac 上で Web サイトが強制的にビデオ通話を開始できます。

この脆弱性が最初に発見されたとき、Zoom は、Apple が Safari 12 で導入した Safari の変更に対する回避策としてローカル Web サーバーを使用したと述べ、それがなければユーザーがアクセスできる「劣悪なユーザー エクスペリエンス」に対する「正当な解決策」であると主張しました。シームレスなワンクリックで会議に参加できます。」

問題となっていたのは、サードパーティ製アプリを起動する際にユーザーの承認を求めるためにAppleが実装した新しいポップアップで、Zoom側はこれを避けたいと考えていた。 Zoom は、通話を待って Zoom 会議を自動的に開始するように設計された、前述の Web サーバーを通じてこれを実行しました。

Zoomは最終的にこの問題に対処する パッチをリリースし 、AppleはZoomアプリのアンインストール時に当初Macから削除されなかった Webサーバーソフトウェアを削除する 措置を講じた。その後、Zoom は Zoom アプリをアンインストールすると Web サーバーが削除されるようにし、その他の変更も加えました。

Zoom をインストールしても Mac デバイスにローカル Web サーバーがインストールされなくなりました。また、手動で有効にするまで Zoom のビデオをデフォルトで無効にする「ビデオを常にオフにする」設定を保存する新しい設定が追加されました。

元の Zoom パッチと同様、RingCentral と Zhumu の新しいパッチは自動的に展開されるため、有効にするためにユーザーが手動で適用する必要はありません。 Appleは The Verge に対し、Zoomのすべてのパートナーアプリの脆弱性を修正する予定であると語った。