Zoom Patches High-Severity Flaw in macOS Client
2022/10/18 InfoSecurity — 先週にビデオメッセージング・プラットフォームの Zoom は、macOS 向けクライアントに存在する深刻度の高い欠陥に対して、新しいパッチをリリースした。この脆弱性 CVE-2022-28762 は、5.10.6 〜 5.12.0 (未満) のバージョンの、デバッグポートに関する誤設定に起因するものであり、CVSS 値は 7.3 となっている。先週に同社は、「特定の Zoom Apps を実行しながら、Zoom App Layers API の一部としてカメラモード・レンダリング・コンテキストを有効にすると、Zoom クライアントがローカル・デバッグ・ポートを開いてしまう」とセキュリティ速報ページに記している。
Zoom によると、この脆弱性の悪用に成功した攻撃者は、同社のクライアントに接続し、その中で実行されている Zoom アプリを制御する可能性が生じるという。
技術的に見た Zoom Apps は、Zoom プラットフォーム内からアクセスできる外部アプリとの統合を意味する。そこには、Miro/Dropbox Spaces/Asana などのツールが含まれる。
この欠陥は Zoom のセキュリティ・チームにより発見され、macOS クライアントの最新バージョン 5.12.0 で完全に修正された。このパッチは、同社の Web サイトおよび、インストールされている Zoom アプリから入手できる。Zoom は、「最新アップデートの適用や、最新の Zoom アプリのダウンロードにより、ユーザー環境の安全性が保たれる」と述べている。
このセキュリティ情報は、Google Project Zero の Ivan Fratric が発見した、特定の Extensible Messaging and Presence Protocol (XMPP) メッセージを送信して悪意のあるコードを実行し、チャット・ユーザーを危険にさらす4つの脆弱性 (パッチ適用済み) から数ヶ月後に発行された。
さらに最近では、FIN11 (Clop) と呼ばれる脅威アクターが、Zoom アプリの Web ダウンロード・ページになりすまし、世界中のターゲットに対してフィッシング・キャンペーンを実行した可能性が、サイバー・セキュリティ企業の Cyfirma の調査により示唆されている。
今年に入ってからの Zoom ですが、1月21日の「Zoom ゼロデイ脆弱性の特殊性:Google Project Zero の研究者が語る」、5月25日の「Google 警告:Zoom のリモートコード実行の脆弱性とゼロクリックの詳細」、8月17日の「Zoom for Mac の深刻な脆弱性 CVE-2022-28756/CVE-2022-28751 が FIX」などのインシデント報告がありました。昨年9月に、Zoom for Windows/macOS に自動アップデートが提供されたという記事がありますので、よろしければ、ご確認ください。
IoT OT Security News 
You must be logged in to post a comment.