Серьезная уязвимость нулевого дня в приложении Zoom для видеоконференций для Mac была публично раскрыта сегодня исследователем безопасности Джонатаном Лейтшу.
В сообщении на Medium Лейтшу продемонстрировал, что простое посещение веб-страницы позволяет сайту принудительно инициировать видеозвонок на Mac с установленным приложением Zoom.
Говорят, что уязвимость частично обусловлена веб-сервером, который приложение Zoom устанавливает на Mac, «принимающим запросы, которые обычные браузеры не принимают», как отметил The Verge, который самостоятельно подтвердил уязвимость.
Кроме того, Лейтшу утверждает, что в старой версии Zoom (уже исправленной) уязвимость позволяла любой веб-странице устраивать отказ в обслуживании (DoS) на Mac, многократно подключая пользователя к недействительному вызову. По словам Лейтшу, это все еще может быть опасно, поскольку Zoom не имеет «достаточных возможностей автоматического обновления», поэтому, вероятно, есть пользователи, все еще использующие старые версии приложения.
Лейтшу сообщил, что раскрыл проблему компании Zoom в конце марта, предоставив компании 90 дней на исправление проблемы, но исследователь безопасности сообщает, что уязвимость все еще присутствует в приложении.
Пока мы ждем, пока разработчики Zoom что-нибудь сделают с уязвимостью, пользователи могут предпринять шаги, чтобы самостоятельно предотвратить ее, отключив настройку, позволяющую Zoom включать камеру вашего Mac при присоединении к встрече.
Имейте в виду, что простое удаление приложения не поможет, потому что Zoom устанавливает локальный веб-сервер в качестве фонового процесса, который может переустановить клиент Zoom на Mac без какого-либо пользовательского взаимодействия, кроме посещения веб-страницы.
К счастью, в нижней части сообщения Лейтшу на Medium приведены команды Терминала, которые полностью удалят веб-сервер.
Обновление: В заявлении, переданном ZDNet, Zoom защитил использование локального веб-сервера на Mac как «обходной путь» для изменений, внесенных в Safari 12. Компания заявила, что считает запуск локального сервера в фоновом режиме «законным решением проблемы плохого пользовательского опыта, позволяющим нашим пользователям проводить бесшовные встречи по одному клику, что является ключевым отличием нашего продукта».
Обновление 2: Zoom больше не занимает оборонительную позицию и выпустил исправление.
