オートアップデート中に悪意のあるユーザーがroot権限に昇格できてしまう可能性のある脆弱性を修正した「Zoom for Mac v5.11.5」がリリースされています。詳細は以下から。
Zoom Video Communications, Incが現地時間2022年07月18日にリリースした「Zoom Meetings for Mac v5.11.3」では、Zoom Meetings for Macアップデートのインストーラーの問題を利用し、悪意のあるユーザーがroot権限に昇格できてしまう脆弱性(CVE-2022-28751)が修正されましたが、
Zoom for Mac v5.11.3のリリースノート
Zoomは現地時間2022年08月13日付で、新たに、脆弱性CVE-2022-28751(上記)のパッチのミスにより、同じく悪意のあるユーザーがroot権限に昇格できてしまう可能性のある脆弱性CVE-2022-28756を修正した「Zoom Meetings for Mac v5.11.5」をリリースしたと発表しています。
Zoom for Mac v5.11.5リリースノート
Zoomの脆弱性に関するタイムライン
今回の一連のアップデートは、この脆弱性を発見しZoomに報告した、元NSAで現在はObjective-Seeを運営するPatrick Wardleさんが、2021年12月にZoomにroot権限昇格に関する脆弱性と修正方法を含め報告したものの、Zoomは約8ヶ月アップデートを行わず、07月18日にようやくリリースされた「Zoom Meetings for Mac v5.11.3」ではパッチにミスがあったため、
Wardleさんは、この脆弱性を08月12日に米ラスベガスで開催されたDef ConでPoCを含め発表するとともに、The Vergeに詳細公開し、Zoomが早急に対応するようコメントしていたもので、
🆕 Update(s):
🐛 Bug assigned CVE-2022-28756
🩹 Patch now available, in Zoom v5.11.5 (9788)See Zoom's security bulletin: https://t.co/xUpE4jS6ck
Mahalos to @Zoom for the (incredibly) quick fix! 🙌🏽 🙏🏽 pic.twitter.com/GGtM3EUT7s
— patrick wardle (@patrickwardle) August 14, 2022
今回はZoomも脆弱性の詳細とPoCの公開から約1日という迅速な対応でパッチをリリースしてくれたようなので、Zoom Meetings for Macユーザーの方は、お盆休み明けにクライアントを「Zoom Meetings for Mac v5.11.5」へアップデートすることをお勧めします。
タイムライン
- 2022年04月27日 : CVE-2022-22781
Zoom Meeting for Mac v5.9.6より前のバージョンで、アップデート処理中にパッケージのバージョンが適切にチェックされず、悪意のあるユーザーにより安全でないバージョンのZoom Meetingにアップデートされてしまう不具合。
- 2022年07月18日 : CVE-2022-28751
Zoom Meeting for Mac v5.11.3より前のバージョンで、アップデート処理中にインストーラーの検証が不十分で、悪意のあるユーザーがroot権限に昇格してしまう不具合。(未修正)
- 2022年08月13日 : CVE-2022-28756
07月18日にリリースしたZoom Meeting for Mac v5.11.3で修正しきれなかったミス(所有者)により、悪意のあるユーザーが自動アップデート中にroot権限に昇格してしまう可能性のある脆弱性CVE-2022-28756を修正。
- Security Bulletin – Zoom
コメント