更新:この記事とその他の記事が4月1日に公開された後、ZoomのCEOであるエリック・ユアン氏はブログ記事でZoomのセキュリティおよびその他の問題について言及しました。ブログ記事の一部には、当初の記事で説明したUNC脆弱性などを修正するバグ修正プログラムがリリース予定であることが詳述されていました。修正プログラムはユーザーに自動的に配布されているようです。既に修正プログラムを受け取っているPCWorldのスタッフによると、バージョン番号は4.6.9(19253.0401)とのことです。
報道によると、Zoom にはパッチが適用されていない脆弱性があり、攻撃者はチャットウィンドウに悪意のあるリンクをドロップし、それを使って Windows のパスワードを盗むことができるという。
Twitterに投稿され、その後追加で公開された動画によると、ハッカーはUNCパスインジェクションと呼ばれる攻撃を利用して認証情報を漏洩させる可能性がある。The Hacker Newsによると、これはWindowsがリモートサーバーに接続してファイルをダウンロードしようとすると、ユーザーのログイン名とパスワードがサーバーに漏洩してしまうためだという。
HackerFantastic / Twitter攻撃者が他のユーザーにリンクを送信し、クリックさせるだけで攻撃が開始されます。Windowsのパスワードは暗号化されたままですが、ハッカーによると、パスワードが弱い場合はサードパーティ製のツールで簡単に解読できるとのことです。
Zoomの人気が高まるにつれ、セキュリティコミュニティの注目を集め、ビデオ会議ソフトウェアの脆弱性がより綿密に調査されています。「Zoomボム」のリスクに加え、エンドツーエンド暗号化を謳いながら実際には暗号化されていないという批判も寄せられています。昨年、リモートユーザーがMacユーザーの通話に参加し、許可なくカメラをオンにできる可能性のある脆弱性が発見されました。この脆弱性は修正されましたが、Zoomは現在のバグの修正をまだ発表していません。
Hacker News は、Windows セキュリティ ポリシー設定を使用して NTML 資格情報のリモート サーバーへの自動送信をオフにするか、Web 用の Zoom クライアントを使用することを推奨しています。
