您的位置:首页 >聚焦 > 创投 >

在缺陷允许网站未经许可打开网络摄像头后缩放补丁Mac客户端

2019-07-10 14:03:11来源:

视频会议巨头Zoom已经为其Mac客户端发布了一个补丁,从用户的计算机中删除了一个流氓Web服务器,允许任何网站在未经许可的情况下加入视频通话。在软件工程师和安全研究员Jonathan Leitschuh发布了一篇详细描述漏洞的媒体帖子之后,该漏洞的消息首次出现。“如果您曾经安装过Zoom客户端然后将其卸载,那么您的计算机上仍然有一个localhost网络服务器,可以为您快乐地重新安装Zoom客户端,除了访问网页之外,无需代表您进行任何用户交互。这种重新安装的“功能”一直延续至今。“

Leitschuh包含漏洞补丁,包括如何在加入会议时禁用Zoom打开网络摄像头的功能,默认情况下禁用视频的终端命令以及如何关闭Web服务器和删除Web服务器应用程序文件的说明。

用户现在可以更新其客户端或从其网站下载新版本。

在他的时间表中,Leitschuh表示该漏洞最初是在3月26日向Zoom公布的,提出了“快速修复”,但Zoom用了10天的时间来确认漏洞,尽管与公司交谈,他只在6月24日看到Zoom已实施快速修复。

“最终,Zoom很快就确认报告的漏洞确实存在,并且未能及时解决问题。他写道,这个配置文件的组织和拥有如此庞大的用户群应该更加主动地保护用户免受攻击。

Leitschuh补充说,他正在宣传这个漏洞,因为“这基本上是一个零日”,指的是一个以前未公开的漏洞,现在已经出现了。

“不幸的是,Zoom并没有在我给他们的90天披露窗口中修复此漏洞,这是行业标准。因此,使用此服务时,400万用户的Zoom on Mac现在很容易受到侵犯他们的隐私。“

Zoom发言人告诉TechCrunch:“Zoom正在与安全研究人员合作,他们担心默认视频作为安全漏洞:默认情况下,缩放会在用户加入会议时打开视频。从理论上讲,这可能会让黑客欺骗目标加入摄像机上的视频会议。值得注意的是,我们没有迹象表明这种情况曾经发生过。“

在一份较长的声明中,该公司表示,目前,“所有首次使用Zoom的用户在加入他们的特定设备的第一次会议时,都会被问及他们是否希望关闭他们的视频。对于后续会议,用户可以配置其客户端视频设置以在加入会议时关闭视频。此外,系统管理员可以在安装时为受支持的设备预先配置视频设置,也可以随时更改配置。“

它补充说:“作为我们2019年7月发布的一部分,Zoom将应用并将用户的视频偏好从第一次Zoom会议保存到所有未来的Zoom会议。用户和系统管理员仍可配置其客户端视频设置,以在加入会议时关闭视频。此更改将适用于所有客户端平台。“