Una grave vulnerabilità zero-day nel Ingrandisci L'app di videoconferenza per Mac è stata resa pubblica oggi dal ricercatore di sicurezza Jonathan Leitschh.
In un Post medio , Leitschhuh ha dimostrato che la semplice visita di una pagina Web consente al sito di avviare forzatamente una videochiamata su un Mac con l'app Zoom installata.
Si dice che il difetto sia in parte dovuto a un server web che l'app Zoom installa su Mac che 'accetta richieste che i normali browser non accetterebbero', come notato da Il Verge , che ha confermato in modo indipendente la vulnerabilità.
Inoltre, Leitschuh afferma che in una versione precedente di Zoom (dalla patchata) la vulnerabilità consentiva a qualsiasi pagina Web di DOS (Denial of Service) un Mac collegando ripetutamente un utente a una chiamata non valida. Secondo Leitschh, questo potrebbe essere ancora un pericolo perché Zoom non ha 'capacità di aggiornamento automatico sufficienti', quindi è probabile che ci siano utenti che utilizzano ancora versioni precedenti dell'app.
Leitschhuh ha affermato di aver rivelato il problema a Zoom alla fine di marzo, dando alla società 90 giorni per risolvere il problema, ma il ricercatore sulla sicurezza riferisce che la vulnerabilità rimane ancora nell'app.
Mentre aspettiamo che gli sviluppatori di Zoom facciano qualcosa per la vulnerabilità, gli utenti possono prendere provvedimenti per prevenire la vulnerabilità stessi disabilitando l'impostazione che consente a Zoom di accendere la fotocamera del tuo Mac quando si uniscono a una riunione.
Tieni presente che la semplice disinstallazione dell'app non aiuta, perché Zoom installa il server web localhost come processo in background che può reinstallare il client Zoom su un Mac senza richiedere alcuna interazione dell'utente oltre a visitare una pagina web.
Utilmente, il fondo di Leitschhuh's Post medio include una serie di comandi di Terminale che disinstalleranno completamente il server web.
Aggiornare: In una dichiarazione data a ZDNet , Zoom ha difeso l'uso di un server Web locale su Mac come 'soluzione alternativa' ai cambiamenti introdotti in Safari 12. La società ha affermato che riteneva che l'esecuzione di un server locale in background fosse una 'soluzione legittima per un'esperienza utente scadente, consentendo ai nostri utenti di avere riunioni senza interruzioni con un clic per partecipare, che è il nostro principale elemento di differenziazione del prodotto.'
Aggiornamento 2: Zoom non sta più assumendo una posizione difensiva e ha ora rilasciata una patch .
Tag: sicurezza , Zoom
Messaggi Popolari