Security Affairsは8月17日(現地時間)、「Zoom fixed 2 flaws in macOS App that were disclosed at DEF CONSecurity Affairs」において、ZoomがmacOS用のZoomアプリケーションに存在した2つの重要度の高い脆弱性に対処したことを伝えた。これら脆弱性はセキュリティカンファレンスである「DEF CON」で、セキュリティ研究者のPatrick Wardle氏によって発表されたものだということがわかった。

  • Zoom fixed 2 flaws in macOS App that were disclosed at DEF CONSecurity Affairs

    Zoom fixed 2 flaws in macOS App that were disclosed at DEF CONSecurity Affairs

Wardle氏の講演で、macOS版のZoomアプリケーションにローカルの非特権攻撃者がデバイスへのルートアクセスを達成するために悪用できる、いくつかの重大なセキュリティ欠陥があることが明らかとなった。同氏は実際に自動更新プロセスにある脆弱性を突いて、既知の脆弱性の影響を受ける古いバージョンにアプリケーションをダウングレードできることを実証したとされている。

Zoomは、macOS版Zoomアプリケーションが抱えている2つの重大な脆弱性にパッチを適用したアップデートを実施することを事前に通知しており、その脆弱性がWardle氏が発表したものであることがわかった。Zoomは講演の翌日に自動更新処理の脆弱性(CVE-2022-28756)を修正した「Client for Meetings for macOS 5.11.5」をリリースしている。

Zoomはそのほか、不適切なアクセス制御の脆弱性(CVE-2022-28753CVE-2022-28754)、Zoomクライアントにおける不適切なURL解析(CVE-2022-28755)、WindowsクライアントのZoom Roomsでのローカル権限昇格(CVE-2022-28752)などの重大かつ深刻度の高い複数の脆弱性に対応している。