Zoomが権限昇格の脆弱性などを修正した「Zoom Meeting for Mac v4.6.9」をリリースしています。詳細は以下から。
ビデオ会議サービス「Zoom Meeting」などを提供するZoom Video Communications, Incは現地時間2020年04月02日、悪意のあるユーザーが特権を取得できてしまう脆弱性などを修正したMac用クライアント「Zoom Meeting v4.6.9」をリリースしたと発表しています。
April 2, 2020 Version 4.6.9 (19273.0402)
- Resolved an issue where a malicious party with local access could tamper with the Zoom installer to gain additional privileges to the computer
- Resolved an issue where a malicious party with local access could gain access to a user’s webcam and microphone
- Resolved an issue where some users could access chat in a webinar when chat was disabled
New Updates for macOS – Zoom Help Center
Zoom Meeting for Mac v4.6.9ではJamfの主任セキュリティ研究員をされているPatrick Wardleさんが指摘していた、ローカルアクセスが可能な悪意のあるユーザーがユーザーのWebカメラ及びマイクへアクセスできてしまう脆弱性や、チャットが無効になっている際に一部のユーザーがウェビナー・チャットにアクセスできない問題が修正されているそうで、
加えて、Zoom Meeting for Macのインストーラーも刷新され、インストール時にユーザーの承認を得るようになり、悪意のあるユーザーが管理者権限に昇格できてしまう脆弱性が修正されているので、管理者の方はアプリ及びインストーラーのアップデートをすることをおすすめします。
追記
また、Zoom Meeting for Windowsもv4.6.9へアップデートされ、UNCパスがハイパーリンク化されるのを悪用し、SMBリレー攻撃でユーザーのハッシュ化されたパスワードなどが取得されてしまう脆弱性が修正されているそうです。
Hi @zoom_us & @NCSC – here is an example of exploiting the Zoom Windows client using UNC path injection to expose credentials for use in SMBRelay attacks. The screen shot below shows an example UNC path link and the credentials being exposed (redacted). pic.twitter.com/gjWXas7TMO
— Hacker Fantastic (@hackerfantastic) March 31, 2020
April 2, 2020 Version 4.6.9 (19253.0401)
- Resolved an issue where a malicious party could use UNC links to leak a user’s hashed password
- Resolved an issue where some users could access chat in a webinar when chat was disabled
New Updates for Windows – Zoom Help Center
おまけ
ZoomのCEO Eric S. Yuanさんは、今後90日間はZoomのエンジニアリング・リソースをプライバシーとセキュリティ問題のに集中させ、社外の専門家によるレビューや透明性レポートの準備、バグバウンティ・プログラムの強化、CISO評議会の立ち上げ、侵入テストなどを行うと発表していますが、
頂いたコメントによると、Zoomアプリの作りがこの様になったのは、ZoomのR&Dセンターが人件費の安い中国に置かれ(2019年01月時点で500名)、あまりセキュリティやプライバシー問題に費用が割かれていなかったからではないかという推測もされているそうです。
Zoom for Macの脆弱性タイムライン
- 2019年07月08日
▶InfoSecのセキュリティ研究者Jonathan Leitschuhさんが「Zoom for Mac」クライアントに悪意のあるWebサイトにアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性がるとMediumに投稿。 - 2019年07月09日
▶Zoom CEOのEric S. Yuanさんがグループチャットでこの問題を認め、暫定的な対処法と今後の修正を発表。 - 2019年07月09日
▶Zoomがこの脆弱性を修正し、隠されたWebサーバー(localhost)を削除する機能を搭載した「July 9 Patch」を公開。 - 2019年07月10日
▶これまでにZoomアプリをインストールしたユーザーのMacから隠されたWebサーバーを削除するため、AppleがMacに入り込んだマルウェアを検出し削除するセキュリティ機能「Malware Removal Tool」をアップデートし、"~/.zoomus"を削除する機能を追加したと発表。 - 2019年07月12日
▶Zoomデーモン(Webサーバー)だけを残してZoomアプリを削除すると、RCEが可能になる脆弱性が確認される。 - 2019年07月14日
▶会議を開始する前にビデオ(カメラを有効)を利用し、常にビデオプレビュー画面を表示するオプションを追加(デフォルトでON)。 - 2019年07月15日
▶ビデオ会議サービスRingCentralやZhumuにも同様の脆弱性が発覚し、開発元がアップデートやパッチを配布。 - 2019年07月16日
▶Appleが今回の件で2度目のMRTアップデート(v1.46)を公開し、Zoomと同様のビデオ会議サービスRingCentralやZhumuなどがインストール時に作るWebサーバーを削除。 - 2020年03月末
▶Zoom Meeting for Macのインストーラーが、ユーザー承認をせずにアプリをインストールする問題。 - 2020年03月31日
▶Zoom Meeting for Macに権限昇格とコードインジェクションを利用しMacのカメラとマイクからユーザーの行動をキャプチャされる可能性がある脆弱性が指摘される。 - 2020年04月01日
▶ZoomのCEOが謝罪し、今後はセキュリティ問題の修正に専念すると発表。 - 2020年04月02日
▶Zoomが複数の脆弱性を修正し、インストーラーが承認を取るようにした「Zoom Meeting for Mac v4.6.9」をリリース。 - 2020年04月07日
▶タイトルバー上のミーティングID表示の廃止や、ミーティングのホスト(主催者)用にセキュリティを一箇所でコントロールできる「セキュリティ」ボタンを追加した「Zoom Meeting for Mac/Windows v4.6.10」をリリース。 - 2020年04月12日
▶DropboxやOneDriveでのファイル共有やスケジュールされたミーティングでパスワードが要求されるようになった「Zoom for Mac/Windows v4.6.11」がリリース。 - 2020年04月27日▶複数のセキュリティ機能を追加/強化した「Zoom v5.0」がリリース。
- 2020年05月10日
▶メールアドレスやPMI、電話番号などの個人情報をアスタリスクで隠すようにした「Zoom v5.0.2」がリリース。 - 2020年05月17日
▶スクリーン共有時のミーティング情報表示や待合室用の新しいチャイムを追加した「Zoom v5.0.3」がリリース。 - 2020年05月25日
▶仮想カメラデバイスやアプリを再サポートした「Zoom v5.0.4」がリリース。 - 2020年05月30日New
▶Zoom Meeting v5.x以降のクライアントを利用する全てのZoomアカウントをAES 256-bit GCM暗号化を採用。
- ダウンロードセンター – Zoom
- New Updates for macOS – Zoom Help Center
コメント