昨日、ビデオ会議サービスZoomがリリースしました。アップデートMac クライアントでは、物議を醸している Web サーバー機能が削除されています。可能性を開いた何者かがユーザーのコンピュータ上で許可なくビデオ通話を開始する様子。
しかし今、TechCrunchレポートApple は構わず介入することを決定し、Zoom の Web サーバー機能を完全に削除する Mac 用のサイレント アップデートを開始しました。
Zoom がユーザーのコンピュータに静かにインストールするために使用していたローカル Web サーバーは、Zoom の使いやすさの側面をいくつか改善しましたが、第一に、悪用の可能性が非常に大きくなりました。文書化されたセキュリティ研究者のジョナサン・ライトシュー氏による。
マッシュ可能な光の速度
Appleは、このアップデートにより過去と現在のZoomユーザーがLeitschuh氏が発見した脆弱性から保護されると述べ、ZoomはTechCrunchに対し、同社がアップデートに関して「Appleと協力できたことに満足している」と語った。
Apple がサードパーティのアプリを修正するパッチを導入したという事実 (同社がこれを行うことはほとんどありません) が雄弁に物語っています。ユーザーに通知することなくローカル Web サーバーをコンピューターにインストールし、Zoom アプリをアンインストールした後でも自動的に再インストールするなどの「機能」を許可するサードパーティ アプリは、システムのセキュリティにとって恐ろしいものです。
そして、Zoom が当初この脆弱性を「リスクが低い」として軽視し、隠し Web サーバーの使用を擁護したという事実は、そのような主張を最初に反証することが多い独立したセキュリティ研究者の研究の重要性を示しています。
でブログ投稿水曜日、Zoomの最高経営責任者(CEO)エリック・S・ユアン氏は、同社が「今後数週間」以内に公開脆弱性開示プログラムを開始すると書いた。同氏はまた、同社が「将来のセキュリティ関連のあらゆる懸念を受け取り、エスカレーションし、ループを閉じるためのプロセスを改善するための措置を講じた」とも書いた。