Vážna zero-day zraniteľnosť v Zoom aplikáciu na videokonferencie pre Mac dnes zverejnil bezpečnostný výskumník Jonathan Leitschuh.
V Stredný príspevok , Leitschuh demonštroval, že jednoduchá návšteva webovej stránky umožňuje stránke násilne iniciovať videohovor na Macu s nainštalovanou aplikáciou Zoom.
Chyba je údajne čiastočne spôsobená webovým serverom, ktorý aplikácia Zoom inštaluje na počítače Mac a ktorý „prijíma požiadavky, ktoré bežné prehliadače neakceptujú“, ako poznamenal The Verge , ktorá nezávisle potvrdila zraniteľnosť.
Okrem toho, Leitschuh hovorí, že v staršej verzii Zoom (od záplaty) táto zraniteľnosť umožnila akejkoľvek webovej stránke na DOS (Denial of Service) Mac opakovaným pripájaním používateľa k neplatnému hovoru. Podľa Leitschuha to môže byť stále riziko, pretože Zoom nemá „dostatočné možnosti automatickej aktualizácie“, takže pravdepodobne existujú používatelia, ktorí stále používajú staršie verzie aplikácie.
Leitschuh povedal, že problém oznámil spoločnosti Zoom koncom marca, čím dal spoločnosti 90 dní na vyriešenie problému, ale bezpečnostný výskumník uvádza, že zraniteľnosť v aplikácii stále zostáva.
Kým čakáme, kým vývojári Zoomu niečo urobia s touto zraniteľnosťou, používatelia môžu sami podniknúť kroky na zabránenie tejto zraniteľnosti tým, že deaktivujú nastavenie, ktoré umožňuje Zoomu zapnúť kameru vášho Macu pri pripájaní sa k schôdzi.
Upozorňujeme, že jednoduché odinštalovanie aplikácie nepomôže, pretože Zoom nainštaluje webový server localhost ako proces na pozadí, ktorý môže znova nainštalovať klienta Zoom na Mac bez toho, aby vyžadoval akúkoľvek interakciu používateľa okrem návštevy webovej stránky.
Užitočné, spodok Leitschuh's Stredný príspevok obsahuje sériu príkazov terminálu, ktoré úplne odinštalujú webový server.
Aktualizácia: Vo vyhlásení pre ZDNet Zoom obhajoval svoje používanie lokálneho webového servera na počítačoch Mac ako „obchádzanie“ zmien, ktoré boli zavedené v Safari 12. Spoločnosť uviedla, že spustenie lokálneho servera na pozadí považuje za „legitímne riešenie zlej používateľskej skúsenosti, umožňuje našim používateľom bezproblémové stretnutia, na ktoré sa pripojíte jedným kliknutím, čo je náš kľúčový produktový rozdiel.“
Aktualizácia 2: Zoom už nezastáva obranný postoj a má teraz vydala opravu .
Tagy: bezpečnosť , Zoom
Populárne Príspevky