En alvorlig nul-dages sårbarhed i Zoom videokonferenceapp til Mac blev offentliggjort i dag af sikkerhedsforsker Jonathan Leitschuh.
I en Medium indlæg , viste Leitschuh, at blot at besøge en webside giver webstedet mulighed for at tvangsinitiere et videoopkald på en Mac med Zoom-appen installeret.
Fejlen siges til dels at skyldes en webserver, som Zoom-appen installerer på Mac'er, der 'accepterer anmodninger, almindelige browsere ikke ville', som bemærket af Randen , som uafhængigt bekræftede sårbarheden.
Derudover siger Leitschuh, at i en ældre version af Zoom (siden patchet) tillod sårbarheden enhver webside til DOS (Denial of Service) en Mac ved gentagne gange at tilslutte en bruger til et ugyldigt opkald. Ifølge Leitschuh kan dette stadig være en fare, fordi Zoom mangler 'tilstrækkelige auto-opdateringsmuligheder', så der er sandsynligvis brugere, der stadig kører ældre versioner af appen.
Leitschuh sagde, at han afslørede problemet til Zoom i slutningen af marts, hvilket gav virksomheden 90 dage til at løse problemet, men sikkerhedsforskeren rapporterer, at sårbarheden stadig er i appen.
Mens vi venter på, at Zoom-udviklerne gør noget ved sårbarheden, kan brugerne selv tage skridt til at forhindre sårbarheden ved at deaktivere den indstilling, der tillader Zoom at tænde for din Macs kamera, når de deltager i et møde.
Bemærk, at blot afinstallation af appen ikke hjælper, fordi Zoom installerer localhost-webserveren som en baggrundsproces, der kan geninstallere Zoom-klienten på en Mac uden at kræve nogen brugerinteraktion udover at besøge en webside.
Hjælpsomt, bunden af Leitschuh's Medium indlæg indeholder en række Terminal-kommandoer, der vil afinstallere webserveren fuldstændigt.
Opdatering: I en udtalelse givet til ZDNet Zoom forsvarede sin brug af en lokal webserver på Macs som en 'løsning' til ændringer, der blev introduceret i Safari 12. Virksomheden sagde, at det følte, at det at køre en lokal server i baggrunden var en 'legitim løsning på en dårlig brugeroplevelse,' gør det muligt for vores brugere at have sømløse møder med ét klik for at deltage, hvilket er vores vigtigste produktdifferentiering.'
Opdatering 2: Zoom tager ikke længere en defensiv holdning og har nu udgivet en patch .
Tags: sikkerhed , Zoom
Populære Indlæg