Сериозна уязвимост от нулев ден в Увеличаване Приложението за видеоконферентна връзка за Mac беше публично разкрито днес от изследователя по сигурността Джонатан Лейтшу.
В Среден пост , Leitschuh демонстрира, че простото посещение на уеб страница позволява на сайта да инициира принудително видео разговор на Mac с инсталирано приложение Zoom.
Твърди се, че недостатъкът отчасти се дължи на уеб сървър, който приложението Zoom инсталира на Macs, който „приема заявки, които обикновените браузъри не биха“, както е отбелязано от На ръба , което независимо потвърди уязвимостта.
В допълнение, Leitschuh казва, че в по-стара версия на Zoom (след кръпка) уязвимостта позволява на всяка уеб страница да DOS (отказ на услуга) на Mac чрез многократно присъединяване на потребител към невалидно обаждане. Според Leitschuh това все още може да представлява опасност, тъй като Zoom няма „достатъчни възможности за автоматично актуализиране“, така че вероятно има потребители, които все още работят с по-стари версии на приложението.
Leitschuh каза, че е разкрил проблема на Zoom в края на март, давайки на компанията 90 дни да отстрани проблема, но изследователят по сигурността съобщава, че уязвимостта все още остава в приложението.
Докато чакаме разработчиците на Zoom да направят нещо по отношение на уязвимостта, потребителите могат да предприемат стъпки, за да предотвратят уязвимостта сами, като деактивират настройката, която позволява на Zoom да включва камерата на вашия Mac, когато се присъединят към среща.
Обърнете внимание, че простото деинсталиране на приложението няма да помогне, защото Zoom инсталира локалния уеб сървър като фонов процес, който може да инсталира повторно клиента Zoom на Mac, без да изисква никакво потребителско взаимодействие, освен посещение на уеб страница.
Услужливо, дъното на Leitschuh's Среден пост включва серия от команди на терминала, които ще деинсталират напълно уеб сървъра.
Актуализация: В изявление, дадено на ZDNet , Zoom защити използването на локален уеб сървър на Macs като „заобиколно решение“ за промените, въведени в Safari 12. Компанията каза, че смята, че стартирането на локален сървър във фонов режим е „законно решение за лошо потребителско изживяване, позволявайки на нашите потребители да провеждат безпроблемни срещи с едно щракване, за да се присъедините, което е нашият ключов продукт, отличаващ се.“
Актуализация 2: Zoom вече не заема отбранителна позиция и го има сега пусна пач .
Етикети: сигурност , Zoom
Популярни Публикации