Una greu vulnerabilitat de dia zero al Zoom L'aplicació de videoconferència per a Mac va ser divulgada avui públicament per l'investigador de seguretat Jonathan Leitschuh.
En a Publicació mitjana , Leitschuh va demostrar que simplement visitar una pàgina web permet que el lloc iniciï per força una videotrucada en un Mac amb l'aplicació Zoom instal·lada.
Es diu que el defecte es deu en part a un servidor web que l'aplicació Zoom instal·la als Mac que 'accepta sol·licituds que els navegadors habituals no ho farien', tal com va assenyalar. El Verge , que va confirmar de manera independent la vulnerabilitat.
A més, Leitschuh diu que en una versió anterior de Zoom (des de la pedaç) la vulnerabilitat permetia a qualsevol pàgina web DOS (Denegació de servei) un Mac unint repetidament un usuari a una trucada no vàlida. Segons Leitschuh, això pot ser encara un perill perquè Zoom no té 'capacitats d'actualització automàtica suficients', per la qual cosa és probable que hi hagi usuaris encara utilitzant versions anteriors de l'aplicació.
Leitschuh va dir que va revelar el problema a Zoom a finals de març, donant a l'empresa 90 dies per solucionar el problema, però l'investigador de seguretat informa que la vulnerabilitat encara roman a l'aplicació.
Mentre esperem que els desenvolupadors de Zoom facin alguna cosa sobre la vulnerabilitat, els usuaris poden prendre mesures per prevenir la vulnerabilitat ells mateixos desactivant la configuració que permet que Zoom engegui la càmera del Mac quan s'uneix a una reunió.
Tingueu en compte que simplement desinstal·lar l'aplicació no us ajudarà, perquè Zoom instal·la el servidor web localhost com a procés de fons que pot tornar a instal·lar el client Zoom en un Mac sense requerir cap interacció de l'usuari a més de visitar una pàgina web.
Útilment, el fons de Leitschuh's Publicació mitjana inclou una sèrie d'ordres de Terminal que desinstal·laran completament el servidor web.
Actualització: En una declaració feta a ZDNet , Zoom va defensar el seu ús d'un servidor web local en Mac com a 'solució alternativa' als canvis que es van introduir a Safari 12. La companyia va dir que pensava que executar un servidor local en segon pla era una 'solució legítima per a una mala experiència d'usuari'. permetent als nostres usuaris tenir reunions sense problemes i amb un sol clic per unir-se, que és el nostre diferenciador de producte clau.'
Actualització 2: Zoom ja no està prenent una posició defensiva i ho ha fet ara ha publicat un pedaç .
Etiquetes: seguretat , Zoom
Entrades Populars