Apple-Uutiset

Zoom-videokonferenssisovelluksen vakava haavoittuvuus voi antaa verkkosivustojen kaapata Mac-verkkokamerat [Päivitetty]

Vakava nollapäivän haavoittuvuus Zoomaus Tietoturvatutkija Jonathan Leitschuh julkisti tänään videoneuvottelusovelluksen Macille.



Jonkin sisällä Keskipitkä postaus , Leitschuh osoitti, että yksinkertaisesti vierailemalla verkkosivulla sivusto voi väkisin aloittaa videopuhelun Macissa, johon on asennettu Zoom-sovellus.

isight
Virheen sanotaan johtuvan osittain verkkopalvelimesta, jonka Zoom-sovellus asentaa Mac-tietokoneisiin ja joka 'hyväksyy pyynnöt, joita tavalliset selaimet eivät hyväksy', kuten huomautti. The Verge , joka vahvisti itsenäisesti haavoittuvuuden.





Lisäksi Leitschuh sanoo, että Zoomin vanhemmassa versiossa (korjauksen jälkeen) haavoittuvuus salli minkä tahansa verkkosivun DOS:lle (Denial of Service) Macille liittämällä toistuvasti käyttäjän virheelliseen kutsuun. Leitschuhin mukaan tämä voi silti olla vaara, koska Zoomilta puuttuu 'riittävä automaattinen päivitysominaisuus', joten todennäköisesti on käyttäjiä, jotka käyttävät edelleen sovelluksen vanhempia versioita.

Leitschuh kertoi paljastaneensa ongelman Zoomille maaliskuun lopulla, jolloin yhtiöllä on 90 päivää aikaa korjata ongelma, mutta tietoturvatutkijan mukaan haavoittuvuus on edelleen sovelluksessa.

Odottaessamme, että Zoom-kehittäjät tekevät jotain haavoittuvuuden korjaamiseksi, käyttäjät voivat ryhtyä toimiin haavoittuvuuden estämiseksi itse poistamalla käytöstä asetuksen, joka sallii Zoomin käynnistää Macin kameran liittyessään kokoukseen.

Huomaa, että pelkkä sovelluksen asennuksen poistaminen ei auta, koska Zoom asentaa paikallisen verkkopalvelimen taustaprosessina, joka voi asentaa Zoom-asiakkaan uudelleen Mac-tietokoneeseen ilman, että käyttäjän tarvitsee toimia Web-sivulla käynnin lisäksi.

Auttavaisesti, Leitschuhin pohja Keskipitkä postaus sisältää joukon päätekomentoja, jotka poistavat verkkopalvelimen asennuksen kokonaan.

Päivittää: annetussa lausunnossa ZDNet , Zoom puolusti paikallisen verkkopalvelimen käyttöä Mac-tietokoneissa 'kiertotapana' Safari 12:ssa tehtyihin muutoksiin. Yritys sanoi, että sen mielestä paikallisen palvelimen käyttäminen taustalla oli 'laillinen ratkaisu huonoon käyttökokemukseen, mahdollistaa käyttäjillemme saumattoman, yhdellä napsautuksella liittymisen kokouksiin, mikä on tärkein tuotteemme erottava tekijä.'

Päivitys 2: Zoom ei enää ota puolustusasentoa ja on nyt julkaissut korjaustiedoston .

Tunnisteet: turvallisuus , zoom