自動アップデート中に悪意のあるユーザーがroot権限に昇格できてしまう可能性のある脆弱性を修正した「Zoom for Mac v5.11.5」がリリース。

スポンサーリンク

 オートアップデート中に悪意のあるユーザーがroot権限に昇格できてしまう可能性のある脆弱性を修正した「Zoom for Mac v5.11.5」がリリースされています。詳細は以下から。

Zoom for iOS

 Zoom Video Communications, Incが現地時間2022年07月18日にリリースしたZoom Meetings for Mac v5.11.3では、Zoom Meetings for Macアップデートのインストーラーの問題を利用し、悪意のあるユーザーがroot権限に昇格できてしまう脆弱性(CVE-2022-28751)が修正されましたが、

Zoom for Mac v5.11.3

Zoom for Mac v5.11.3のリリースノート

Zoomは現地時間2022年08月13日付で、新たに、脆弱性CVE-2022-28751(上記)のパッチのミスにより、同じく悪意のあるユーザーがroot権限に昇格できてしまう可能性のある脆弱性CVE-2022-28756を修正した「Zoom Meetings for Mac v5.11.5」をリリースしたと発表しています。

Zoom for Mac v5.11.5アップデート

Zoom for Mac v5.11.5リリースノート

スポンサーリンク

Zoomの脆弱性に関するタイムライン

 今回の一連のアップデートは、この脆弱性を発見しZoomに報告した、元NSAで現在はObjective-Seeを運営するPatrick Wardleさんが、2021年12月にZoomにroot権限昇格に関する脆弱性と修正方法を含め報告したものの、Zoomは約8ヶ月アップデートを行わず、07月18日にようやくリリースされた「Zoom Meetings for Mac v5.11.3」ではパッチにミスがあったため、

Zoom for Mac CVE-2022-28751 and CVE-2022-28756

Wardleさんは、この脆弱性を08月12日に米ラスベガスで開催されたDef ConでPoCを含め発表するとともに、The Vergeに詳細公開し、Zoomが早急に対応するようコメントしていたもので、

今回はZoomも脆弱性の詳細とPoCの公開から約1日という迅速な対応でパッチをリリースしてくれたようなので、Zoom Meetings for Macユーザーの方は、お盆休み明けにクライアントを「Zoom Meetings for Mac v5.11.5」へアップデートすることをお勧めします。

Zoom Meetings for Mac v5.11.5 update

タイムライン

  • 2022年04月27日 : CVE-2022-22781
    Zoom Meeting for Mac v5.9.6より前のバージョンで、アップデート処理中にパッケージのバージョンが適切にチェックされず、悪意のあるユーザーにより安全でないバージョンのZoom Meetingにアップデートされてしまう不具合。
  • 2022年07月18日 : CVE-2022-28751
    Zoom Meeting for Mac v5.11.3より前のバージョンで、アップデート処理中にインストーラーの検証が不十分で、悪意のあるユーザーがroot権限に昇格してしまう不具合。(未修正)
  • 2022年08月13日 : CVE-2022-28756
    07月18日にリリースしたZoom Meeting for Mac v5.11.3で修正しきれなかったミス(所有者)により、悪意のあるユーザーが自動アップデート中にroot権限に昇格してしまう可能性のある脆弱性CVE-2022-28756を修正。