Poważna luka zero-day w Powiększenie Aplikacja do wideokonferencji dla komputerów Mac została dziś publicznie ujawniona przez badacza bezpieczeństwa Jonathana Leitschuha.
W Średni post , Leitschuh wykazał, że samo odwiedzenie strony internetowej umożliwia jej wymuszenie zainicjowania rozmowy wideo na komputerze Mac z zainstalowaną aplikacją Zoom.
Mówi się, że usterka jest częściowo spowodowana serwerem internetowym, który aplikacja Zoom instaluje na komputerach Mac, który „akceptuje żądania, których nie zrobiłyby zwykłe przeglądarki”, jak zauważył Pogranicze , który niezależnie potwierdził podatność.
Ponadto Leitschuh twierdzi, że w starszej wersji Zoom (od czasu aktualizacji) luka umożliwiała dowolnej stronie internetowej DOS (Denial of Service) komputer Mac poprzez wielokrotne dołączanie użytkownika do nieprawidłowego połączenia. Według Leitschuh może to nadal stanowić zagrożenie, ponieważ Zoom nie ma „wystarczających możliwości automatycznej aktualizacji”, więc prawdopodobnie będą użytkownicy nadal korzystający ze starszych wersji aplikacji.
Leitschuh powiedział, że ujawnił problem Zoomowi pod koniec marca, dając firmie 90 dni na rozwiązanie problemu, ale badacz bezpieczeństwa donosi, że luka nadal pozostaje w aplikacji.
Podczas gdy czekamy, aż programiści Zoom zrobią coś z luką, użytkownicy mogą podjąć kroki, aby samemu zapobiec luce, wyłączając ustawienie, które pozwala Zoomowi włączyć kamerę komputera Mac podczas dołączania do spotkania.
Pamiętaj, że samo odinstalowanie aplikacji nie pomoże, ponieważ Zoom instaluje serwer sieciowy localhost jako proces w tle, który może ponownie zainstalować klienta Zoom na komputerze Mac bez konieczności interakcji użytkownika poza odwiedzaniem strony internetowej.
Pomocnie, dno Leitschuh's Średni post zawiera szereg poleceń terminala, które całkowicie odinstalują serwer sieciowy.
Aktualizacja: W oświadczeniu przekazanym ZDNet , Zoom bronił korzystania z lokalnego serwera WWW na komputerach Mac jako „obejścia” zmian wprowadzonych w Safari 12. Firma stwierdziła, że jej zdaniem uruchomienie lokalnego serwera w tle jest „uzasadnionym rozwiązaniem problemu złych doświadczeń użytkownika, umożliwianie naszym użytkownikom bezproblemowych spotkań, do których można dołączyć jednym kliknięciem, co jest naszym kluczowym wyróżnikiem produktu”.
Aktualizacja 2: Zoom nie przyjmuje już postawy obronnej i teraz wydała łatkę .
Tagi: bezpieczeństwo , Zoom
Popularne Wiadomości