En alvorlig null-dagers sårbarhet i Zoom videokonferanseapp for Mac ble offentliggjort i dag av sikkerhetsforsker Jonathan Leitschuh.
I en Middels innlegg , viste Leitschuh at bare å besøke en nettside gjør det mulig for nettstedet å tvinge i gang en videosamtale på en Mac med Zoom-appen installert.
Feilen sies å delvis skyldes en nettserver som Zoom-appen installerer på Mac-er som 'godtar forespørsler som vanlige nettlesere ikke ville', som bemerket av The Verge , som uavhengig bekreftet sårbarheten.
I tillegg sier Leitschuh at i en eldre versjon av Zoom (siden oppdatering) tillot sårbarheten enhver nettside til DOS (Denial of Service) en Mac ved gjentatte ganger å koble en bruker til et ugyldig anrop. I følge Leitschuh kan dette fortsatt være en fare fordi Zoom mangler 'tilstrekkelige autooppdateringsmuligheter', så det er sannsynligvis brukere som fortsatt kjører eldre versjoner av appen.
Leitschuh sa at han avslørte problemet til Zoom i slutten av mars, og ga selskapet 90 dager på å fikse problemet, men sikkerhetsforskeren rapporterer at sårbarheten fortsatt er i appen.
Mens vi venter på at Zoom-utviklerne skal gjøre noe med sårbarheten, kan brukere selv ta skritt for å forhindre sårbarheten ved å deaktivere innstillingen som lar Zoom slå på Mac-kameraet når de blir med i et møte.
Merk at det ikke hjelper å avinstallere appen, fordi Zoom installerer localhost-nettserveren som en bakgrunnsprosess som kan reinstallere Zoom-klienten på en Mac uten å kreve noen brukerinteraksjon i tillegg til å besøke en nettside.
Hjelpsomt, bunnen av Leitschuh's Middels innlegg inkluderer en serie Terminal-kommandoer som vil avinstallere webserveren fullstendig.
Oppdater: I en uttalelse gitt til ZDNet Zoom forsvarte bruken av en lokal nettserver på Mac-er som en 'løsning' til endringer som ble introdusert i Safari 12. Selskapet sa at det føltes å kjøre en lokal server i bakgrunnen som en 'legitim løsning på en dårlig brukeropplevelse, gjør det mulig for brukerne våre å ha sømløse møter med ett klikk for å bli med, som er vår viktigste produktdifferensiator.'
Oppdatering 2: Zoom tar ikke lenger en defensiv holdning og har har nå gitt ut en patch .
Stikkord: sikkerhet , Zoom
Populære Innlegg