ZOOM应用被曝严重安全漏洞 任何网站可劫持Mac摄像头

【发布日期】:2019-07-10【查看次数】:

  2017开奖记录开奖结果众所周知Zoom是一款能够支持多人高清视频会话的应用,在生活中使用频率也较高,但最近ZOOM被爆存在严重的安全漏洞问题。

  7月9号,安全研究员Jonathan Leitschuh公开披露了Mac上Zoom视频会议应用程序的一个严重的zero-day漏洞。他已经证明任何网站都可以在安装了Zoom应用程序的Mac上打开视频通话。这可能是因为Zoom应用程序在Mac上安装了一个Web服务器,接受普通浏览器不会的请求。事实上,如果您卸载Zoom,该Web服务器仍然存在,并且可以在没有您干预的情况下重新安装Zoom。

  根据Leitschuh的演示,我们已经确认该漏洞有效。如果您之前已安装了Zoom应用程序(并且未在设置中选中某个复选框),则单击链接将自动打开您的相机进入电话会议。Leitschuh详细说明了他如何负责任地披露了3月下旬缩小版的漏洞,给公司90天的时间来解决问题。根据Leitschuh的说法,Zoom似乎没有给出解决问题的方法。该漏洞也向Chromium和Mozilla团队披露,但由于它们的浏览器存在问题,因此研发人员无法做到这一点。

  打开相机已经够糟糕了,但是计算机上存在的Web服务器还可能会给Mac用户带来更多重大问题。例如,在较旧版本的Zoom(自打补丁)后,可以通过不断ping网络服务器在Mac上实施拒绝服务攻击:“通过简单地发送重复的GET请求来查找错误的数字,Zoom应用程序会不断请求来自操作系统的“关注”,“Leitschuh写道。

  您可以通过确保Mac应用程序是最新的并且还禁用允许Zoom在加入会议时打开相机的设置来自行“修补”相机问题,如下图所示。同样,只卸载Zoom无法解决此问题,因为该Web服务器在Mac上仍然存在。关闭Web服务器需要运行一些终端命令,这些命令可以在Medium帖子的底部找到。

  在向Verge和其他出版物(这里是ZDNet)发表的声明中,ZOOM说它开发了本地网络服务器,以便在苹果改变其Safari网络浏览器之后,让Zoom用户节省一些点击次数。Zoom将“解决方法”视为“用户体验不佳的合法解决方案,使我们的用户能够进行无缝的一键加入会议,这是我们的主要产品差异化因素。”

  ZOOM表示将以一种小的方式调整应用程序:从7月开始,ZOOM将保存用户和管理员在首次加入通话时视频是否开启的首选项。总的来说,Zoom似乎并不打算彻底改变其应用在Mac上的行为,以避免陷入不必要的通话,而是依赖用户默认关闭相机。

上一篇:健全党建制度 落实党建保障

下一篇:空间就是虚拟主机吗