Macのカメラが乗っ取られてしまう脆弱性が発覚した「Zoom」が会議参加前にビデオ機能をONにするかを確認する機能を実装したそうです。詳細は以下から。
2019年07月08日、米Zoom Video Communications, Inc.が提供するリモート会議システム「Zoom Meeting」のMac用クライアントに悪意のあるWebサイトにアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性が確認され、その後このZoomがユーザーの許可なしにMacにWebサーバーをインストールし、アプリをアンインストールしても削除されることなく、REC脆弱性になることが発覚しAppleがMRTで対策に乗り出しましたが、
Zoom脆弱性のタイムライン
- 2019年07月08日
▶InfoSecのセキュリティ研究者Jonathan Leitschuhさんが「Zoom for Mac」クライアントに悪意のあるWebサイトにアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性がるとMediumに投稿。 - 2019年07月09日
▶Zoom CEOのEric S. Yuanさんがグループチャットでこの問題を認め、暫定的な対処法と今後の修正を発表。 - 2019年07月09日
▶Zoomがこの脆弱性を修正し、隠されたWebサーバー(localhost)を削除する機能を搭載した「July 9 Patch」を公開。 - 2019年07月10日
▶これまでにZoomアプリをインストールしたユーザーのMacから隠されたWebサーバーを削除するため、AppleがMacに入り込んだマルウェアを検出し削除するセキュリティ機能「Malware Removal Tool」をアップデートし、”~/.zoomus”を削除する機能を追加したと発表。 - 2019年07月12日
▶Zoomデーモン(Webサーバー)だけを残してZoomアプリを削除すると、RCEが可能になる脆弱性が確認される。 - 2019年07月14日New
▶会議を開始する前にビデオ(カメラを有効)を利用し、常にビデオプレビュー画面を表示するオプションを追加(デフォルトでON)。 - 2019年07月15日New
▶ビデオ会議サービスRingCentralやZhumuにも同様の脆弱性が発覚し、開発元がアップデートやパッチを配布。
このZoomのMac用クライアントが現地時刻2019年07月14日にv4.4.55313.0714にアップデートされ、ビデオ会議開始前に、ビデオをONにして常にビデオプレビューを表示する機能を実装したと発表しています。
July 14, 2019 Version 4.4.55313.0714
Confirm Starting Video When Joining a Meeting
Before joining a meeting with video on, users will now be shown their video preview and given the options to join with or without video. They can also check to always join with video without displaying the preview first.New Updates for Mac OS – Zoom Help Center
Zoom v4.4.55313.0714以降では新たにビデオ会議を始める前にビデオプレビューを行う&ビデオ(カメラ)なしで会議に参加するオプションが追加され、このオプションはデフォルトで有効になっています。
また、同バージョンではDropboxを利用したファイル共有やHID(Human Interface Device)対応のBluetoothデバイスで電話に出たり、ミュートを行うことも可能になっているそうです。
おまけ
今回のZoomの脆弱性は、ZoomがSafari v12で強化されたセキュリティ機能を迂回して、Safariからシームレスにユーザーをビデオ会議に移動させるために導入したWebサーバーが原因で、Appleが対応するまでに至りましたが、その後の調査により、このようなユーザーの許可なしにWebサーバーをインストールし常時待機させる手法を他のリモート会議サービスを提供しているRingCentralやBlueJeans、Zhumuも導入していることが発覚し、
Re the Zoom thing, other web conferencing vendors with similar issues on Mac – BlueJeans opens a webserver on port 18171, RingCentral on port 19424, both allow launching of meetings via localhost as browser permissions bypass. Still looking at WebEx.
— 10x Kevin Beaumont 🌈 (@GossiTheDog) 2019年7月9日
特にRingCentralのMac用クライアントはZoomとほぼ同じで、WebサーバーへのDoS攻撃およびカメラの乗っ取りが可能な脆弱性CVE-2019-13449とCVE-2019-13450があるとして、RingCentralはMac用クライアントv7.0.151508.0712でこの脆弱性のHotfixを行ったとBuzzFeedが報じているので、ユーザーの方はチェックしてみてください。
RingCentral (and Zhumu, and likely all of Zoom’s white labels) are vulnerable to another, slightly different, RCE. They are not automatically removed by Apple.
CVE-2019-13576 & CVE-2019-13586
Follow these instructions to protect yourself: https://t.co/FVkyBM1efB pic.twitter.com/c66hvGb1wm
— Karan Lyons (@karanlyons) 2019年7月15日
- CVE-2019–13449 : Webサーバー(localhost)に対するDoS攻撃。
- CVE-2019–13450 : 悪意のあるWebサイトへアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性。
- New Updates for Mac OS – Zoom Help Center
- Meetings – Security Advisory – RingCentral
コメント