macOS向けセキュリティアップデート配信。Webカメラが勝手に起動される脆弱性を修正
そして17日(米現地時間)、Zoomアプリの技術を利用したビデオ会議アプリ「RingCentral」と「Zhumu」に関する同様の脆弱性を修正するため、2度目のセキュリティアップデートを配信したと報じられています。もともとZoomアプリの脆弱性は、セキュリティ研究者のJonathan Leitschuh氏が8日に公開したもの。本アプリはURLをクリックするだけでビデオ会議に直接参加できることが知られています。そしてLeitschuh氏はZoomアプリがインストールされている環境では、Webページにアクセスするだけでユーザーは強制的に会議に参加させられ、許可なくWebカメラが起動できることを報告しました。
より大きな問題は、MacからZoomアプリを削除しても問題は解決しなかったこと。本アプリはMac上にローカルWebサーバーをインストールするため、ユーザーの許可なくZoomアプリが再インストールされる可能性があるからです。
なぜZoom社がこうした仕様にしたかといえば、アップルが2018年9月にリリースした「Safari 12」のセキュリティを回避するため。その際にSafariは、サードパーティのアプリを開くごとにユーザーの承認を必要とするよう変更されました。しかしZoom社はあくまで「1クリック」の快適さを守りたかったため、Mac内にWebサーバーをインストールし、ユーザーに代わって自動的にアクセスを承認させたわけです。
その後Zoom社はMacからWebサーバーを削除するパッチをリリースしましたが、アップルも同様の目的でmacOSアップデートを配信したしだいです。
海外テックメディアThe Vergeによれば、今回のアップルによるセキュリティアップデートも前回と同様に自動アップデート。つまりユーザー側で手動によりアップデートを適用する必要はありません。アップルは今後も、全てのZoom社と提携したパートナー各社のアプリについても問題を解決する予定だと伝えられています。
