【概要】
■Zoom for Macの脆弱性タイムライン
| 2019/07/08 | InfoSecのセキュリティ研究者Jonathan Leitschuhさんが「Zoom for Mac」クライアントに悪意のあるWebサイトにアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性があるとMediumに投稿 |
|---|---|
| 2019/07/09 | Zoom CEOのEric S. Yuanさんがグループチャットでこの問題を認め、暫定的な対処法と今後の修正を発表 |
| 2019/07/09 | Zoomがこの脆弱性を修正し、隠されたWebサーバー(localhost)を削除する機能を搭載した「July 9 Patch」を公開 |
| 2019/07/10 | これまでにZoomアプリをインストールしたユーザーのMacから隠されたWebサーバーを削除するため、AppleがMacに入り込んだマルウェアを検出し削除するセキュリティ機能「Malware Removal Tool」をアップデートし、"~/.zoomus"を削除する機能を追加したと発表 |
| 2019/07/12 | Zoomデーモン(Webサーバー)だけを残してZoomアプリを削除すると、RCEが可能になる脆弱性が確認される |
| 2019/07/14 | 会議を開始する前にビデオ(カメラを有効)を利用し、常にビデオプレビュー画面を表示するオプションを追加(デフォルトでON) |
| 2019/07/15 | ビデオ会議サービスRingCentralやZhumuにも同様の脆弱性が発覚し、開発元がアップデートやパッチを配布 |
| 2019/07/16 | Appleが今回の件で2度目のMRTアップデート(v1.46)を公開し、Zoomと同様のビデオ会議サービスRingCentralやZhumuなどがインストール時に作るWebサーバーを削除 |
| 2020/03末 | Zoom Meeting for Macのインストーラーが、ユーザー承認をせずにアプリをインストールする問題 |
| 2020/03/31 | Zoom Meeting for Macに権限昇格とコードインジェクションを利用しMacのカメラとマイクからユーザーの行動をキャプチャされる可能性がある脆弱性が指摘される |
| 2020/04/01 | ZoomのCEOが謝罪し、今後はセキュリティ問題の修正に専念すると発表 |
| 2020/04/02 | Zoomが複数の脆弱性を修正し、インストーラーが承認を取るようにした「Zoom Meeting for Mac v4.6.9」をリリース |
【ニュース】
◆Zoom、権限昇格の脆弱性などを修正した「Zoom Meeting for Mac v4.6.9」をリリース。インストール時にユーザーの承認を得るインストーラーも。 (AAPL Ch., 2020/04/03)
https://applech2.com/archives/20200403-zoom-meeting-for-mac-april-2-patch.html
【関連まとめ記事】
◆ZoomBombing (まとめ)
https://malware-log.hatenablog.com/entry/ZoomBombing
