Zoom紧急修正Mac客户端漏洞,拿掉本地主机网页服务器


视频会议软件Zoom公布了,其Mac客户端存在零日漏洞,漏洞为负面。消息显示,Zoom官方正在紧急回应博客,称新版本将删除有安全问题的localhost Web服务器,并允许用户在卸载程序时删除本地主机Web服务器。安全人员还质疑Zoom Private Vulnerability Incentive Program,该官员还承诺推出一项公共漏洞奖励计划,并改进环回信息和管道。

Zi'an的研究员Jonathan Leitschuh在博客中谈到了Zoom的Mac客户端应用程序的漏洞,这引起了社区的强烈抗议。 Jonathan Leitschuh提到Zoom用户可能会受到Mac上的DoS和信息泄露攻击,并且Zoom允许通过安装无法从用户计算机中删除的本地主机Web服务器将任何网页连接到Zoom应用程序。这是一种非常危险的做法。 Jonathan Leitschuh报告了三月放大的两个漏洞,但Zoom只修复了Mac版Zoom客户端4.4.2中的DoS漏洞,该网页可以在未经用户同意的情况下启动摄像头的信息泄露漏洞。

979c66ab0f944824814e5337f3b30861

互联网上的大量抗议使得Zoom必须进一步回应用户的意见。现在Mac上的Zoom客户端将收到一条更新消息,通知用户更新最新版本的应用程序。用户完成更新后,系统将删除系统上的本地主机Web服务器,并且还将进入缩放卸载程序。添加完全删除本地主机Web服务器的选项也将删除用户存储的设置。

此外,Zoom预计将在7月发布更新以更正Zoom的选项以启用相机。用户将来会安装更新版本。在第一个始终关闭相机的选项后,系统将自动保存为视频首选项。选项,用户也可以在视频设置中默认关闭相机。 Zoom提到,研究人员Jonathan Leitschuh认为,用户有机会点击攻击者提供的恶意网络链接,在未知情况下启动摄像头,他们还没有观察到任何相关案例,但出于安全考虑,他们将会7月发布。更新仍将修复。

Zoom还解释了为什么Mac上安装了本地主机Web服务器以减少用户启动的缩放会话的数量,因为Safari 12中的安全性更改要求用户确认何时加入缩放会议。为了启动Zoom客户端,本地主机Web服务器用于减少用户的额外点击操作并改善用户体验。 Zoom提到Mac设备上的本地主机Web服务器功能有限,只能响应本地。计算机请求,并不是唯一使用此方法启动视频会议的供应商。

为了回应Jonathan Leitschuh对Zoom在解决漏洞方面的消极态度的抨击,Zoom正式提到它没有被主动修补的原因是因为在他们和其他研究人员评估它是预先设置相机的低风险漏洞之后,它将决定不更改设置。尽管他们发布了一个更新应用程序,但5月份修补的DoS漏洞并没有强制用户安装,因为他们也认为这是一个低风险的漏洞,到目前为止还没有用户因为无限制而加入会议请求,导致要锁定的系统。

资料来源:iThome Security