
Zoomで複数の脆弱性が発見された
先週、Zoomに複数の脆弱性が発見されたというお知らせがあった。
Zoomの複数の脆弱性の1つは権限のないユーザーがネットワークアクセスを介して情報漏洩を行うことができるという、かなり危険なものだった。
Zoom Workplace for Linux - Improper Certificate Validation
しかし、私のZoomは自動アップデートをオンに設定しているし、お知らせがあった7月8日から2日経過していたので、すでに自動アップデートされているだろうと思っていたのですが、Zoomを起動してバージョンを確認したらアップデートされていなかった。
Zoomの自動アップデート設定は実質オフ
Zoomの設定の「アプリを自動的に更新する」はオンになっていたのになぜ自動アップデートされていないのか。
調べたところ、下図のようにZoomのデフォルト設定では更新数が「遅い」が有効になっており、「速い」のほうに設定しないと脆弱性が修正された最新バージョンにすぐに自動アップデートされないことが判明しました。

もはやこの更新設定自体がZoomの脆弱性だし、こんな設定を知っている人はほとんどいないので、脆弱性対策のためにもZoom社はデフォルトの更新を「速い」にするよう改善してほしいと思いました。