Tõsine nullpäeva haavatavus Suumi Turvateadlane Jonathan Leitschuh avalikustas täna Maci videokonverentsirakenduse.
Sees Keskmine postitus Leitschuh näitas, et lihtsalt veebilehe külastamine võimaldab saidil sunniviisiliselt algatada videokõne Macis, kuhu on installitud rakendus Zoom.
Väidetavalt on viga osaliselt tingitud veebiserverist, mille Zoom rakendus Mac-arvutitesse installib ja mis 'aksepteerib taotlusi, mida tavalised brauserid ei tee', nagu märkis The Verge , mis kinnitas sõltumatult haavatavust.
Lisaks ütleb Leitschuh, et Zoomi vanemas versioonis (alates selle parandamisest) võimaldas haavatavus igal veebilehel kasutada Maci DOS-i (Teenuse keelamine), ühendades kasutaja korduvalt kehtetu kõnega. Leitschuhi sõnul võib see siiski olla oht, kuna Zoomil puudub 'piisav automaatse värskendamise võimalus', mistõttu on tõenäoliselt kasutajaid, kes kasutavad endiselt rakenduse vanemaid versioone.
Leitschuh ütles, et avalikustas probleemi Zoomile märtsi lõpus, andes ettevõttele 90 päeva aega probleemi lahendamiseks, kuid turvauurija teatab, et haavatavus on endiselt rakenduses alles.
Kuni ootame, kuni Zoomi arendajad haavatavuse vastu midagi ette võtavad, saavad kasutajad ise haavatavuse ärahoidmiseks astuda samme, keelates sätte, mis lubab Zoomil koosolekuga liitudes teie Maci kaamera sisse lülitada.
Pange tähele, et lihtsalt rakenduse desinstallimine ei aita, sest Zoom installib kohaliku hosti veebiserveri taustaprotsessina, mis saab Zoomi kliendi Maci uuesti installida, ilma et oleks vaja peale veebilehe külastamise kasutaja sekkumist.
Abistavalt Leitschuhi põhja Keskmine postitus sisaldab mitmeid terminali käske, mis desinstallivad veebiserveri täielikult.
Värskendus: Avalduses, mis on antud ZDNet , Zoom kaitses kohaliku veebiserveri kasutamist Mac-arvutites Safari 12-s sisse viidud muudatuste „ülespääsuna”. Ettevõte ütles, et tema arvates on kohaliku serveri taustal töötamine „õiguspärane lahendus kehvale kasutajakogemusele, mis võimaldab meie kasutajatel pidada sujuvaid koosolekuid ühe klõpsuga liitumiseks, mis on meie peamine toote eristaja.
Värskendus 2: Zoom ei võta enam kaitsepositsiooni ja on seda teinud nüüd on välja antud plaaster .
Sildid: turvalisus , Suum
Lemmik Postitused