Apple(アップル)はMacユーザーにサイレントアップデートを配信し、人気のビデオ会議アプリ、Zoomから脆弱性のある部分を削除した。Zoomは、ウェブサイトが本人の許可を得ることなくユーザーをビデオ通話に参加させることができる。
カリフォルニア州クパチーノに拠点を置くテクノロジーの巨人は、このアップデート(現在は公開済み)は、ユーザーがZoomをインストールしたとき密かにMacにインストールされる隠しウェブサーバーを取り除くものだとTechCrunchに説明した。Appleによると、このアップデートにユーザーが介入する必要はなく自動的に配信されるとのこと。
ビデオ会議大手のZoomは、米国時間7月8日にセキュリティ研究者のJonathan Leitschuh氏が発表した公開脆弱性告知の中で、「どのウェブサイトでも、本人の許可なくユーザーをZoom通話に強制参加させることができ、ビデオカメラが有効な状態」であることが公表されたあと、ユーザーから非難を浴びた。「この隠されたウェブサーバーは、ユーザーがZoomをアンインストールした後にも残っている。このためZoomはユーザーの介入がなくても再インストールできる」とLeitschuh氏はコメントしている。同氏は、脆弱性を説明するための概念実証ページも公開した。
Zoomはアプリの修正版を米国時間7月9日に公開した。Appleによると、これによって過去のユーザーも現在のユーザーも、隠しサーバーの脆弱性から守られ、Zoomアプリ自身の機能に影響を与えたり妨害したりすることもない。アップデート後、これまで自動的に開いていた同アプリは、本当に実行したいかどうかをユーザーに確認するようになる。
Appleは既知のマルウェアを退治するために無言でアップデートを配信することがしばしばあるが(アンチマルウェアサービスと似ている)、一般アプリに対して公に行動を起こすことは稀だ。「無防備なウェブサーバーが引き起こすリスクからユーザーを保護するためにこのアップデートを配信した」とAppleはコメントしている。
Zoomの広報担当者であるPriscilla McCarthy氏はTechCrunchに次のように話した。「今回のアップデートをAppleと協力してテストできことをうれしく思う。これでウェブサーバー問題が解決することを願っている。問題解決まで待ってくれたユーザーの忍耐に感謝している」。
全世界の75万社で400万人以上のユーザーが、ビデオ会議にZoomを使っている。
[原文へ]
(翻訳:Nob Takahashi / facebook )