昨晚深夜,据报道,Zoom Mac应用程序中发现了一个主要漏洞,这基本上使某些站点可以劫持计算机的网络摄像头。安全研究员Jonathan Leitschuh发现了零日漏洞,他最初在3月份将其报告给Zoom。Leitschuh最近向他的Medium帐户发布了该漏洞的详细信息,详细介绍了该漏洞的工作方式以及对Zoom用户的危害。
一般要点是:在Mac上安装视频会议应用程序Zoom时,它还会直接在计算机上安装Web服务器。根据The Verge的一份报告,这实际上“接受了常规浏览器不会接受的请求” 。该Web服务器作为后台进程运行,这使得“在未经用户许可的情况下,在激活摄像机的情况下强行将用户加入Zoom通话”成为可能。
在原始的Medium帖子中,提供了链接以测试此漏洞。这样做将使用户加入电话会议,并且摄像机已经激活,而用户未直接接受。
更糟糕的是,由于Web服务器直接安装在计算机上,即使卸载了Zoom应用程序,它仍然存在。这意味着即使用户不再安装Zoom,该漏洞也仍然有效。
如上所述,Leitschuh早在3月就通知了Zoom漏洞,研究人员已经在周一晚上的公开披露之前汇总了这一切的详细时间表。根据Leitschuh的说法,回归已在7月8日修复,但是他能够迅速找到解决方法。
更重要的是,Leitschuh说,Zoom没有实现有价值的自动更新过程,这意味着许多野生的Zoom用户可能正在使用该软件的旧版本,并且完全有能力运行此漏洞。
现在,Zoom 已解决该问题,并已发送更新以解决该问题:
下面详述的Mac设备上的Zoom应用的7月9日补丁现已发布。您可能会在“缩放”中看到一个弹出窗口来更新客户端,可以从zoom.us/download下载它,或者通过打开“缩放”应用程序窗口,单击屏幕左上角的zoom.us,然后单击以检查更新。检查更新。
该公司对此事有完整的博客文章,如果您是Zoom用户,那么绝对值得一试。但是,这里有一个简短的片段,该公司指出,它 是可以从自动激活加入视频会议时,摄像头禁用变焦客户端:
本周,一位研究人员发表了一篇文章,引发了对我们视频体验的担忧。他担心的是,如果攻击者能够诱使目标Zoom用户单击指向攻击者的Zoom Meeting ID URL的Web链接,则目标用户可能会在不知不觉中加入攻击者的Zoom Meeting。如果用户未将其Zoom客户端配置为在加入会议时禁用视频,则攻击者可能能够查看用户的视频供稿。值得注意的是,我们没有迹象表明这曾经发生过。
考虑到这一点,我们决定让用户对他们的视频设置有更多的控制权。作为我们即将在2019年7月发行的版本的一部分,Zoom将应用并将用户的视频首选项从其第一次Zoom会议中保存到以后的所有Zoom会议中。用户和系统管理员仍可以将其客户端视频设置配置为在加入会议时关闭视频。此更改将适用于所有客户端平台。
现在,如果您好奇并且想要检查Zoom漏洞以及如何清除它(并且您不介意使用Terminal应用程序),Glen Maddern在Twitter上的帖子是一个不错的起点:
Zoom被誉为目前最好的视频会议应用程序和服务之一,但这是一个巨大的漏洞。尽管如此,Zoom仍有可能很快反弹,特别是如果它可以升级其自动更新机制以实际上确保新的修补软件在更多计算机上运行时,尤其如此。