廣告投放

Zoom Mac客戶端的缺陷允許網站在未經允許的情況下打開用戶的相機

廣告投放

本周一,一名安全研究人員在其Mac電腦客戶端上發現了一個零日漏洞——以及對本地主機服務器的可疑使用——該客戶端提供流行的視頻會議服務Zoom,允許網站在啟用攝像頭的情況下強迫用戶撥打電話。經過傳統的90天寬限期后,研究人員Jonathan Leitschuh發現并公布了Zoom漏洞,它影響了運行在Mac電腦上的各種瀏覽器,包括Safari、Chrome和Firefox。這一缺陷可以讓網站在任何安裝了Zoom應用程序的Mac電腦上發起視頻通話,或者在某些情況下已經安裝了Zoom應用程序。根據Zoom的應用程序版本,一個邪惡的網站可以通過一個簡單的啟動動作或iframe漏洞觸發視頻通話。在Leitschuh的概念證明中,除非用戶明確選擇在參加新會議時關閉視屏流媒體,否則單擊一個鏈接將打開Zoom客戶機并啟用視頻。默認情況下,音頻也是禁用的。AppleInsider證實,Zoom最新版本的Mac應用程序4.4.4存在這個漏洞。或許更令人不安的是,Zoom在主機上創建并持續運行本地web服務器作為后臺進程。Zoom在給ZDNet的一份聲明中表示,這一策略被用來作為Safari 12的“變通方案”,這是為了保持應用程序的流暢用戶體驗而做出的調整。對于每個縮放安裝,本地服務器運行在端口19421上,通過該端口可以啟動縮放調用并交付更新。具有諷刺意味的是,Zoom很少(如果有的話)執行自動更新過程,盡管始終運行著服務器和打開端口。更糟糕的是,卸載Zoom并沒有禁用服務器,服務器仍然處于活動狀態,可以在沒有用戶交互的情況下重新安裝客戶機應用程序。根據Leitschuh的說法,僅僅訪問一個網頁就可以觸發重新安裝。Zoom在向ZDNet發表的聲明中為這一舉措進行了辯護,稱web服務器是“解決糟糕用戶體驗的一個合法解決方案,使我們的用戶能夠無縫地參加一鍵式會議,這是我們產品的關鍵特色。”萊切烏在3月份向Zoom公司通報了這個零日。該公司證實了這一缺陷,但只提供了一個基本的修復,其中包括簽名HTTP GET請求。當Leitschuh最近透露iframe漏洞時,Zoom要求延期,但研究人員繼續透露,核心問題——本地服務器——仍然在公司的補丁中。Zoom notes用戶可以選擇在程序第一次運行時禁用視頻功能,從而避免曝光。然而,用戶必須積極主動地維護這種保護。Zoom告訴ZDNet:“所有第一次使用Zoom的用戶,在使用某一設備參加他們的第一次會議時,都會被問到他們是否愿意關掉視頻。”對于隨后的會議,用戶可以配置他們的客戶端視頻設置,以在參加會議時關閉視頻。此外,系統管理員可以在安裝時為支持的設備預先配置視頻設置,也可以隨時更改配置。Zoom表示,7月份發布的版本將會保存新用戶在所有連接平臺上的初始視頻訪問設置。此外,據ZDNet報道,該公司還取消了主機在啟用視頻的情況下自動加入呼叫的功能。雖然Zoom不會刪除本地主機服務器,但是用戶可以使用Leitschuh原始報告中詳細描述的終端命令殺死并刪除有問題的“特性”。

為您推薦

發表評論

電子郵件地址不會被公開。

聯系我們

聯系我們

郵箱: [email protected]

工作時間:周一至周五,9:00-17:30,節假日休息

關注微信
微信掃一掃關注我們

微信掃一掃關注我們

關注微博
返回頂部
平码四中四复式资料