Appleは、RingCentralとZhumuに存在したMacのウェブカメラ乗っ取り脆弱性を修正するため、macOSに新たなサイレントアップデートをリリースしました。これらの2つのアプリはZoomを利用しており、今週、Zoomと同じウェブサーバーの脆弱性の影響を受けることが判明しました。

先週、Zoomの脆弱性が初めて発見された際、Appleはウェブサーバーを削除するmacOSのサイレントアップデートをリリースしました。The Vergeによると、AppleはRingCentralとZhumuによってインストールされたウェブサーバーを削除するため、新たなサイレントセキュリティアップデートをリリースしました。先週リリースされたアップデートと同様に、今回のアップデートもインストールにユーザー操作は必要ありません。

本日、RingCentralとZhumuはZoomと同じ基盤コードを使用しているため、macOSに独自のウェブサーバーを導入していることをお知らせしました。このウェブサーバーにより、ユーザーはワンクリックで簡単に会議に参加できますが、同時にウェブカメラやマイクが乗っ取られる危険性も抱えています。

残念ながら、Zoomのコードを使用しているビデオ会議アプリはRingCentralとZhumuだけではありません。Appleは、今後数日以内にZoomのパートナーアプリすべてに脆弱性を修正する予定だと述べています。

基本的に、Zoom、RingCentral、Zhumuなどのビデオ会議アプリをユーザーがアンインストールしても、ウェブサーバーは残ります。つまり、アプリをインストールしていないユーザーは、各社が配信するアップデートを受け取ることができませんが、それでも脆弱なウェブサーバーはMac上に残ります。そのため、Appleはウェブサーバーを完全に削除する措置を講じました。

先週、Appleは既知のマルウェアを削除するために「Macにサイレント署名アップデートを頻繁にプッシュしている」ものの、既知のアプリに対して公に対策を講じることは稀であると述べました。このような問題は、物理的なウェブカメラカバーの普及をさらに促進するだけです。

続きを読む： 

• Zoomの重大な脆弱性により、ウェブサイトがMacのウェブカメラを乗っ取る可能性がある
• Apple、Zoomが密かにインストールしたウェブサーバーを削除するためmacOSのサイレントアップデートをリリース
• Macのウェブカメラ乗っ取りはZoomだけでなくRingCentralとZhumuにも影響

havebin.com を Google ニュース フィードに追加します。