Vážná zranitelnost zero-day v Zvětšení aplikaci pro videokonference pro Mac dnes veřejně zveřejnil bezpečnostní výzkumník Jonathan Leitschuh.
V Střední příspěvek Leitschuh prokázal, že pouhá návštěva webové stránky umožňuje webu násilně zahájit videohovor na počítači Mac s nainstalovanou aplikací Zoom.
Chyba je údajně částečně způsobena webovým serverem, který si aplikace Zoom instaluje na Mac, který „přijímá požadavky, které běžné prohlížeče neakceptují“, jak poznamenal The Verge , který nezávisle potvrdil zranitelnost.
Kromě toho Leitschuh říká, že ve starší verzi Zoom (po záplatě) tato zranitelnost umožňovala jakékoli webové stránce pro DOS (Denial of Service) a Mac opakovaným připojováním uživatele k neplatnému hovoru. Podle Leitschuha to může být stále nebezpečné, protože Zoom postrádá „dostatečné možnosti automatické aktualizace“, takže pravděpodobně existují uživatelé, kteří stále používají starší verze aplikace.
Leitschuh řekl, že problém oznámil Zoomu koncem března a dal společnosti 90 dní na vyřešení problému, ale bezpečnostní výzkumník hlásí, že zranitelnost v aplikaci stále zůstává.
Zatímco čekáme, až vývojáři Zoomu s touto zranitelností něco udělají, uživatelé mohou sami podniknout kroky k tomu, aby této zranitelnosti zabránili, a to tím, že deaktivují nastavení, které umožňuje Zoomu zapnout kameru vašeho Macu, když se připojujete ke schůzce.
Všimněte si, že pouhé odinstalování aplikace nepomůže, protože Zoom nainstaluje webový server localhost jako proces na pozadí, který může znovu nainstalovat klienta Zoom na Mac, aniž by vyžadoval jakoukoli interakci uživatele kromě návštěvy webové stránky.
Užitečné, spodní část Leitschuh's Střední příspěvek obsahuje řadu příkazů terminálu, které zcela odinstalují webový server.
Aktualizace: V prohlášení dané ZDNet , Zoom obhajoval své použití místního webového serveru na počítačích Mac jako „řešení“ změn, které byly zavedeny v Safari 12. Společnost uvedla, že provozování místního serveru na pozadí považuje za „legitimní řešení špatné uživatelské zkušenosti, umožňuje našim uživatelům mít bezproblémové schůzky, ke kterým se připojíte jediným kliknutím, což je náš klíčový produktový rozdíl.“
Aktualizace 2: Zoom již nezaujímá obranný postoj a má nyní vydal patch .
Štítky: zabezpečení , Zoom
Populární Příspěvky