ニュース 2019.07.27 ビデオ会議アプリの「Zoom」に許可なくカメラ起動する脆弱性
米国時間7月8日、セキュリティ研究者のJonathan Leitschuh氏によって、大手ビデオ会議アプリの「Zoom」においてユーザーを強制的にZoomの通話に参加させ、本人の許可無くWebカメラを起動できる脆弱性があることが判明した。
Zoomは会議の開催者が発行したURLをクリックすることでビデオ会議に直接参加できる仕組みになっており、使っているPCにZoomのアプリがインストールされている場合、今回の脆弱性が発生したようだ。
この脆弱性はMacを対象とするものだが、アップルはすでに対応するセキュリティアップデートを配信しており、Zoom社も対応を行なっている。
Zoomでは当初の方針を一転して低姿勢に
Leitschuh氏は3月下旬にZoom社に問題を連絡しており、90日以内に対応するよう求めていたが、Zoom社は当初完全な解決策を提供する予定はないとの立場を示していた。
ところがLeitschuh氏がインターネット上で脆弱性の事実を公表したことで、セキュリティ関係者やユーザーなど外部からの批判が殺到して方針転換を迫られた形だ。
Zoomはビデオ会議への参加について、参加する際の設定をユーザーがもっと細かく管理できるようにアップデートを行なった。
【関連リンク】
・Zoom Zero Day: 4+ Million Webcams & maybe an RCE? Just get them to visit your website!(Medium)
https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5
・Fix for Zoom, RingCentral, Zhumu (and possibly more) RCE vulnerabilities(GitHub Gist)
https://gist.github.com/karanlyons/1fde1c63bd7bb809b04323be3f519f7e
TEXT:セキュリティ通信 編集部
PHOTO:iStock
- tag
あなたの大切なパソコン・スマホを守ります!
世界が認める総合ウイルス対策ソフト
