En allvarlig nolldagssårbarhet i Zoom videokonferensappen för Mac offentliggjordes idag av säkerhetsforskaren Jonathan Leitschuh.
I en Medium post , visade Leitschuh att ett enkelt besök på en webbsida tillåter webbplatsen att tvångsinleda ett videosamtal på en Mac med Zoom-appen installerad.
Felet sägs delvis bero på en webbserver som Zoom-appen installerar på Mac-datorer som 'accepterar förfrågningar som vanliga webbläsare inte skulle göra', som noteras av Gränsen , som oberoende bekräftade sårbarheten.
Dessutom säger Leitschuh att i en äldre version av Zoom (sedan korrigerad) tillät sårbarheten vilken webbsida som helst att DOS (Denial of Service) en Mac genom att upprepade gånger ansluta en användare till ett ogiltigt samtal. Enligt Leitschuh kan detta fortfarande vara en fara eftersom Zoom saknar 'tillräckliga funktioner för automatisk uppdatering', så det finns sannolikt användare som fortfarande kör äldre versioner av appen.
Leitschuh sa att han avslöjade problemet för Zoom i slutet av mars, vilket gav företaget 90 dagar på sig att åtgärda problemet, men säkerhetsforskaren rapporterar att sårbarheten fortfarande finns kvar i appen.
Medan vi väntar på att Zoom-utvecklarna ska göra något åt sårbarheten, kan användare vidta åtgärder för att förhindra sårbarheten själva genom att inaktivera inställningen som tillåter Zoom att slå på din Macs kamera när de går med i ett möte.
Observera att det inte hjälper att bara avinstallera appen, eftersom Zoom installerar localhost-webbservern som en bakgrundsprocess som kan installera om Zoom-klienten på en Mac utan att kräva någon användarinteraktion förutom att besöka en webbsida.
Hjälpsamt, botten av Leitschuh's Medium post innehåller en serie Terminal-kommandon som kommer att avinstallera webbservern helt.
Uppdatering: I ett uttalande till ZDNet Zoom försvarade sin användning av en lokal webbserver på Mac-datorer som en 'lösning' till ändringar som infördes i Safari 12. Företaget sa att det kändes som att köra en lokal server i bakgrunden var en 'legitim lösning för en dålig användarupplevelse, gör det möjligt för våra användare att ha sömlösa möten med ett klick för att gå med, vilket är vår viktigaste produktskillnad.'
Uppdatering 2: Zoom tar inte längre en defensiv hållning och har har nu släppt en patch .
Etiketter: säkerhet , Zoom
Populära Inlägg