פגיעות רצינית של יום אפס ב- תקריב אפליקציית ועידת וידאו עבור Mac נחשפה היום בפומבי על ידי חוקר האבטחה Jonathan Leitschuh.
ב פוסט בינוני , Leitschuh הוכיח שפשוט ביקור בדף אינטרנט מאפשר לאתר בכוח ליזום שיחת וידאו ב-Mac עם אפליקציית Zoom מותקנת.
נאמר כי הפגם נובע בחלקו משרת אינטרנט שאפליקציית Zoom מתקינה במחשבי מקינטוש ש'מקבל בקשות שדפדפנים רגילים לא יקבלו', כפי שצוין על ידי The Verge , שאישר באופן עצמאי את הפגיעות.
בנוסף, Leitschuh אומר שבגרסה ישנה יותר של Zoom (מאז תוקן) הפגיעות אפשרה לכל דף אינטרנט ל-DOS (מניעת שירות) למק על ידי הצטרפות חוזרת של משתמש לשיחה לא חוקית. לדברי Leitschuh, זה עדיין עלול להוות סכנה מכיוון של-Zoom אין 'יכולות מספיקות של עדכון אוטומטי', כך שסביר להניח שמשתמשים עדיין מריצים גרסאות ישנות יותר של האפליקציה.
Leitschuh אמר שהוא חשף את הבעיה בפני Zoom בסוף מרץ, ונתן לחברה 90 יום לתקן את הבעיה, אך חוקר האבטחה מדווח שהפגיעות עדיין נשארת באפליקציה.
בזמן שאנו ממתינים למפתחי זום שיעשו משהו בנוגע לפגיעות, משתמשים יכולים לנקוט בצעדים כדי למנוע את הפגיעות בעצמם על ידי השבתת ההגדרה המאפשרת לזום להפעיל את המצלמה של ה-Mac שלך בעת הצטרפות לפגישה.
שים לב שפשוט הסרת ההתקנה של האפליקציה לא תעזור, מכיוון ש-Zoom מתקין את שרת האינטרנט של localhost כתהליך רקע שיכול להתקין מחדש את לקוח Zoom ב-Mac מבלי לדרוש אינטראקציה כלשהי של המשתמש מלבד ביקור בדף אינטרנט.
מועיל, החלק התחתון של Leitschuh's פוסט בינוני כולל סדרה של פקודות מסוף שיסירו לחלוטין את שרת האינטרנט.
עדכון: בהצהרה שניתנה ל ZDNet , זום הגנה על השימוש שלה בשרת אינטרנט מקומי במחשבי מקינטוש כ'פתרון לעקיפת הבעיה' לשינויים שהוצגו ב-Safari 12. החברה אמרה שהיא מרגישה שהפעלת שרת מקומי ברקע היא 'פתרון לגיטימי לחוויית משתמש גרועה,' מה שמאפשר למשתמשים שלנו לקיים פגישות חלקות, בלחיצה אחת להצטרפות, המהווה את הבדל המוצרים העיקרי שלנו.'
עדכון 2: זום כבר לא נוקט עמדה הגנתית ויש לו עכשיו שחרר תיקון .
תגיות: אבטחה , זום
רשום פופולרי