Ozbiljna ranjivost u aplikaciji Zoom Video Conference mogla bi omogućiti web-stranicama da otmu Mac web kamere [Ažurirano]

Ozbiljna ranjivost nultog dana u Zum Aplikaciju za video konferencije za Mac danas je javno otkrio istraživač sigurnosti Jonathan Leitschuh.

U Srednji post , Leitschuh je pokazao da jednostavno posjećivanje web-stranice omogućuje stranici da prisilno pokrene videopoziv na Macu s instaliranom aplikacijom Zoom.

Kaže se da je mana djelomično posljedica web-poslužitelja koji aplikacija Zoom instalira na Macove koji 'prihvaća zahtjeve koje obični preglednici ne bi', kako je primijetio The Verge , koji je samostalno potvrdio ranjivost.

Osim toga, Leitschuh kaže da je u starijoj verziji Zooma (otkad je zakrpljena) ranjivost omogućila bilo kojoj web stranici DOS-u (Denial of Service) na Macu tako što je više puta pridružio korisnika nevažećem pozivu. Prema Leitschuhu, to još uvijek može predstavljati opasnost jer Zoomu nedostaju 'dovoljne mogućnosti automatskog ažuriranja', pa je vjerojatno da će postojati korisnici koji još uvijek koriste starije verzije aplikacije.

Leitschuh je rekao da je otkrio problem Zoom-u krajem ožujka, dajući tvrtki 90 dana da riješi problem, ali sigurnosni istraživač izvještava da ranjivost i dalje ostaje u aplikaciji.

Dok čekamo da programeri Zooma poduzmu nešto u vezi s ranjivosti, korisnici mogu sami poduzeti korake kako bi spriječili ranjivost tako što će onemogućiti postavku koja omogućuje Zoomu da uključi kameru vašeg Maca kada se pridruže sastanku.

Imajte na umu da jednostavno deinstaliranje aplikacije neće pomoći jer Zoom instalira web-poslužitelj localhost kao pozadinski proces koji može ponovno instalirati Zoom klijenta na Mac bez potrebe za bilo kakvom interakcijom s korisnikom osim posjeta web-stranici.

Korisno, dno Leitschuhovog Srednji post uključuje niz terminalskih naredbi koje će u potpunosti deinstalirati web poslužitelj.

Ažuriranje: U izjavi danoj ZDNet , Zoom je branio svoju upotrebu lokalnog web poslužitelja na Macu kao 'zaobilazno rješenje' za promjene koje su uvedene u Safariju 12. Tvrtka je rekla da smatra da je pokretanje lokalnog poslužitelja u pozadini 'legitimno rješenje za loše korisničko iskustvo, omogućavajući našim korisnicima besprijekorne sastanke s jednim klikom za pridruživanje, što je naš ključni proizvod koji razlikuje.'

Ažuriranje 2: Zoom više ne zauzima obrambeni stav i jest sada je izdana zakrpa .