Сегодня Apple выпустила второе скрытое обновление безопасности для Mac для устранения дальнейших уязвимостей, связанных с приложением для видеоконференций Zoom для macOS, сообщает The Verge.
Apple удалила программное обеспечение, установленное RingCentral и Zhumu, двумя приложениями для видеоконференций, которые опирались на технологию Zoom и также имели те же уязвимости, что и Zoom ранее на этой неделе.
Эти два приложения установили программное обеспечение, способное реагировать на команды, которые потенциально могли позволить веб-сайтам открывать вашу веб-камеру во время видеоконференции без разрешения. Удаление приложений не удалило вторичное уязвимое к эксплуатации программное обеспечение, которое также было причиной работы Zoom.
Обнаруженная на прошлой неделе уязвимость Zoom позволяла веб-сайту принудительно инициировать видеозвонок на Mac с установленным приложением Zoom из-за веб-сервера, который Zoom установил в фоновом режиме.
Когда уязвимость была впервые обнаружена, Zoom заявила, что использовала локальный веб-сервер в качестве обходного пути для изменений Safari, которые Apple внедрила в Safari 12, назвав это «законным решением» для иначе «плохого пользовательского опыта», который позволял пользователям получать доступ к «бесшовным встречам в один клик».
Проблема заключалась в новом всплывающем окне, которое Apple внедрила для получения одобрения пользователя при запуске стороннего приложения, чего Zoom хотел избежать. Zoom сделал это через вышеупомянутый веб-сервер, который был разработан для ожидания вызовов для автоматического открытия конференций Zoom.
В конечном итоге Zoom выпустил патч для устранения проблемы, а Apple также предприняла шаг по удалению программного обеспечения веб-сервера, которое изначально не удалялось с Mac при удалении приложения Zoom. С тех пор Zoom сделал так, что удаление приложения Zoom удаляет веб-сервер, и внес другие изменения.
Установка Zoom больше не устанавливает локальный веб-сервер на устройствах Mac, и появилась новая настройка для сохранения предпочтения «Всегда выключать видео», которое по умолчанию отключает видео в Zoom до его ручного включения.
Как и в случае с первоначальным патчем для Zoom, новый патч для RingCentral и Zhumu развертывается автоматически, поэтому пользователям не требуется применять его вручную для его вступления в силу. Apple сообщила The Verge, что планирует исправить уязвимость для всех партнерских приложений Zoom.
