Eine schwerwiegende Zero-Day-Sicherheitslücke im Zoomen Die Videokonferenz-App für Mac wurde heute vom Sicherheitsforscher Jonathan Leitschuh öffentlich bekannt gegeben.
In einem Mittlerer Beitrag , zeigte Leitschuh, dass der einfache Besuch einer Webseite es der Site ermöglicht, einen Videoanruf auf einem Mac mit installierter Zoom-App zwangsweise zu initiieren.
Der Fehler soll teilweise auf einen Webserver zurückzuführen sein, den die Zoom-App auf Macs installiert, der 'Anfragen akzeptiert, die normale Browser nicht akzeptieren würden', wie von Der Rand , die die Sicherheitsanfälligkeit unabhängig bestätigten.
Darüber hinaus sagt Leitschuh, dass in einer älteren Version von Zoom (seit dem Patch) die Schwachstelle jede Webseite zu DOS (Denial of Service) eines Macs ermöglichte, indem sie wiederholt einen Benutzer zu einem ungültigen Anruf hinzufügte. Laut Leitschuh kann dies immer noch eine Gefahr darstellen, da Zoom 'ausreichende Auto-Update-Funktionen' fehlen, sodass es wahrscheinlich noch Benutzer gibt, die ältere Versionen der App verwenden.
Leitschuh sagte, er habe Zoom das Problem Ende März mitgeteilt und dem Unternehmen 90 Tage Zeit gegeben, das Problem zu beheben, aber der Sicherheitsforscher berichtet, dass die Schwachstelle immer noch in der App verbleibt.
Während wir darauf warten, dass die Zoom-Entwickler etwas gegen die Sicherheitsanfälligkeit unternehmen, können Benutzer Schritte unternehmen, um die Sicherheitsanfälligkeit selbst zu verhindern, indem sie die Einstellung deaktivieren, die es Zoom ermöglicht, die Kamera Ihres Macs beim Beitritt zu einem Meeting einzuschalten.
Beachten Sie, dass eine einfache Deinstallation der App nicht hilft, da Zoom den localhost-Webserver als Hintergrundprozess installiert, der den Zoom-Client auf einem Mac neu installieren kann, ohne dass außer dem Besuch einer Webseite eine Benutzerinteraktion erforderlich ist.
Hilfreich, die Unterseite von Leitschuh's Mittlerer Beitrag enthält eine Reihe von Terminal-Befehlen, die den Webserver vollständig deinstallieren.
Aktualisieren: In einer Erklärung an ZDNet , verteidigte Zoom die Verwendung eines lokalen Webservers auf Macs als „Problemumgehung“ für Änderungen, die in Safari 12 eingeführt wurden. unseren Benutzern nahtlose Meetings mit nur einem Klick zu ermöglichen, was unser wichtigstes Produktunterscheidungsmerkmal ist.'
Aktualisierung 2: Zoom nimmt keine defensive Haltung mehr ein und hat jetzt einen Patch veröffentlicht .
Tags: Sicherheit , Zoom
Beliebte Beiträge