概要
2019年7月にMacデバイスに対するローカルDoS(Denial of Service)の脆弱性があったことが発表されました。この脆弱性に対するパッチは、既に公開されております。
この脆弱性を悪用したDos攻撃などの記録はありません。これは、経験的に低リスクの脆弱性であるため、ユーザーに更新を強制することはしていませんが、この問題に対する修正プログラムをリリースしました。
ユーザーがZoomをMacデバイスにインストールすると、ローカルコンピューターからの要求にしか応答できない機能限定Webサーバーもデバイスにインストールされます。これは、Safari12で導入されたアーキテクチャの変更に対する回避策である旨をZoom社は述べています。
この回避策により、ユーザーは会議のたびにZoomの起動を承認する必要なく、ローカルウェブサーバーがユーザーに変わって自動的にアクセスを承認し、ユーザーがミーティング参加前に余分なクリックを避けることができます。
DoS脆弱性による懸念について(脆弱性は修正済みです)
本脆弱性の懸念は、攻撃者が標的のZoomユーザーをミーティングのWebリンクをクリックさせることができれば、標的ユーザーが無意識のうちに攻撃者のZoomミーティングに参加できることです。
ユーザーがミーティング参加時に、ビデオを無効にするように設定していない場合、攻撃者はユーザーのビデオフィードを閲覧することができる可能性がありました。
これは、ユーザーエクスペリエンス向上のために正当な解決策であり、ユーザーは素早くワンクリックでミーティングに参加できます。このソリューションを実装しているのは、ビデオ会議プロバイダだけではありません。
対策
Zoomクライアントにアップデートを促すポップアップが表示されたら、アップデートの内容を確認して「更新」をクリックしてください。
このアップデートで更新される内容
主に、以下の内容が修正されています。
- ローカルWebサーバーは、完全に削除されます。
- ユーザーが手動でローカルWebサーバーも含めてZoomを完全にアンインストールできるようになります。
- 「常にビデオをオフにする」チェックボックスを「オン」にした初めてのユーザーは、ビデオの設定が自動的に保存されます。
- 2回目以降に使用する際、Zoomクライアントの設定を通じて、いつでも自分のビデオ設定を更新し、デフォルトで「ビデオをオフ」にすることができます。
アップデートを促すポップアップを見逃した場合
以下のどちらか2つの方法によりアップデートすることができます。
- ダウンロードセンターでダウンロードをします。
- Zoomクライアントの自分のプロフィール写真のアイコンをクリックし、「アップデートを確認」をクリックし、「更新」してください。
この記事の詳細は、Response to Video-On Concern をご参照ください。