Uma vulnerabilidade séria de dia zero no Ampliação O aplicativo de videoconferência para Mac foi divulgado publicamente pelo pesquisador de segurança Jonathan Leitschuh.
Em um Postagem média , Leitschuh demonstrou que simplesmente visitar uma página da Web permite que o site inicie uma chamada de vídeo à força em um Mac com o aplicativo Zoom instalado.
Diz-se que a falha se deve em parte a um servidor web que o aplicativo Zoom instala em Macs que 'aceita solicitações que os navegadores regulares não aceitariam', conforme observado por The Verge , que confirmou a vulnerabilidade de forma independente.
Além disso, Leitschuh diz que em uma versão mais antiga do Zoom (desde que corrigida) a vulnerabilidade permitia qualquer página da web para DOS (negação de serviço) de um Mac, juntando repetidamente um usuário a uma chamada inválida. De acordo com Leitschuh, isso ainda pode ser um perigo porque o Zoom não tem 'recursos de atualização automática suficientes', então é provável que haja usuários ainda executando versões mais antigas do aplicativo.
Leitschuh disse que revelou o problema ao Zoom no final de março, dando à empresa 90 dias para consertar o problema, mas o pesquisador de segurança relata que a vulnerabilidade ainda permanece no aplicativo.
Enquanto esperamos que os desenvolvedores do Zoom façam algo sobre a vulnerabilidade, os usuários podem tomar medidas para prevenir a vulnerabilidade desabilitando a configuração que permite ao Zoom ligar a câmera do seu Mac ao entrar em uma reunião.
Observe que simplesmente desinstalar o aplicativo não ajudará, porque o Zoom instala o servidor da web localhost como um processo em segundo plano que pode reinstalar o cliente Zoom em um Mac sem exigir nenhuma interação do usuário além de visitar uma página da web.
Felizmente, o fundo do Leitschuh's Postagem média inclui uma série de comandos de Terminal que irão desinstalar o servidor web completamente.
Atualizar: Em uma declaração dada a ZDNet , Zoom defendeu seu uso de um servidor web local em Macs como uma 'solução alternativa' para as mudanças que foram introduzidas no Safari 12. A empresa disse que executar um servidor local em segundo plano era uma 'solução legítima para uma experiência do usuário ruim, permitindo que nossos usuários tenham reuniões contínuas com um clique para ingressar, que é o nosso principal diferencial de produto. '
Atualização 2: O zoom não está mais assumindo uma postura defensiva e agora lançou um patch .
Tags: segurança, zoom
Publicações Populares