Một lỗ hổng zero-day nghiêm trọng trong Phóng ứng dụng hội nghị truyền hình dành cho Mac đã được nhà nghiên cứu bảo mật Jonathan Leitschuh tiết lộ công khai hôm nay.
Trong một Bài trung bình , Leitschuh đã chứng minh rằng chỉ cần truy cập một trang web là có thể bắt buộc trang web bắt đầu cuộc gọi điện video trên máy Mac có cài đặt ứng dụng Zoom.
Lỗ hổng được cho là một phần do máy chủ web mà ứng dụng Zoom cài đặt trên máy Mac 'không chấp nhận yêu cầu các trình duyệt thông thường', như đã lưu ý bởi The Verge , đã xác nhận lỗ hổng bảo mật một cách độc lập.
Ngoài ra, Leitschuh nói rằng trong phiên bản Zoom cũ hơn (kể từ khi được vá), lỗ hổng bảo mật đã cho phép bất kỳ trang web nào truy cập DOS (Từ chối dịch vụ) trên máy Mac bằng cách liên tục kết nối người dùng với một cuộc gọi không hợp lệ. Theo Leitschuh, điều này vẫn có thể là một mối nguy hiểm vì Zoom thiếu 'khả năng tự động cập nhật đủ', vì vậy có khả năng người dùng vẫn đang chạy các phiên bản cũ hơn của ứng dụng.
Leitschuh cho biết anh đã tiết lộ vấn đề với Zoom vào cuối tháng 3, cho công ty 90 ngày để khắc phục sự cố, nhưng nhà nghiên cứu bảo mật báo cáo rằng lỗ hổng bảo mật vẫn còn trong ứng dụng.
Trong khi chúng tôi chờ các nhà phát triển Zoom làm điều gì đó về lỗ hổng bảo mật, người dùng có thể thực hiện các bước để tự ngăn lỗ hổng bảo mật bằng cách tắt cài đặt cho phép Zoom bật máy ảnh Mac của bạn khi tham gia cuộc họp.
Lưu ý rằng chỉ cần gỡ cài đặt ứng dụng sẽ không hữu ích vì Zoom cài đặt máy chủ web localhost như một quy trình nền có thể cài đặt lại ứng dụng Zoom trên máy Mac mà không yêu cầu bất kỳ tương tác nào của người dùng ngoài việc truy cập trang web.
Hữu ích, phần dưới của Leitschuh Bài trung bình bao gồm một loạt các lệnh Terminal sẽ gỡ cài đặt hoàn toàn máy chủ web.
Cập nhật: Trong một tuyên bố đưa ra cho ZDNet , Zoom bảo vệ việc sử dụng máy chủ web cục bộ trên máy Mac như một 'giải pháp thay thế' cho những thay đổi đã được giới thiệu trong Safari 12. Công ty nói rằng họ cảm thấy chạy một máy chủ cục bộ trong nền là một 'giải pháp hợp pháp cho trải nghiệm người dùng kém, cho phép người dùng của chúng tôi có các cuộc họp liền mạch, chỉ bằng một cú nhấp chuột để tham gia, đây là điểm khác biệt chính về sản phẩm của chúng tôi. '
Cập nhật 2: Zoom không còn giữ thế phòng thủ và có bây giờ đã phát hành một bản vá .
Tags: bảo mật, Thu phóng
Bài ViếT Phổ BiếN