Isang seryosong zero-day na kahinaan sa Mag-zoom Ang video conferencing app para sa Mac ay ibinunyag sa publiko ngayon ng security researcher na si Jonathan Leitschuh.
Sa isang Katamtamang post , ipinakita ni Leitschuh na ang pagbisita lamang sa isang webpage ay nagbibigay-daan sa site na puwersahang magpasimula ng isang video call sa isang Mac na may naka-install na Zoom app.
Ang kapintasan ay sinasabing bahagyang dahil sa isang web server na ini-install ng Zoom app sa mga Mac na 'hindi tumatanggap ng mga kahilingan ng mga regular na browser,' gaya ng binanggit ng Ang Verge , na nakapag-iisa na nagkumpirma ng kahinaan.
Bilang karagdagan, sinabi ni Leitschuh na sa isang mas lumang bersyon ng Zoom (mula nang na-patch) ang kahinaan ay nagpapahintulot sa anumang webpage sa DOS (Denial of Service) sa isang Mac sa pamamagitan ng paulit-ulit na pagsali sa isang user sa isang di-wastong tawag. Ayon kay Leitschuh, maaaring mapanganib pa rin ito dahil kulang ang Zoom ng 'sapat na mga kakayahan sa auto-update,' kaya malamang na may mga gumagamit pa rin na nagpapatakbo ng mga mas lumang bersyon ng app.
Sinabi ni Leitschuh na isiniwalat niya ang problema sa Zoom noong huling bahagi ng Marso, na nagbibigay sa kumpanya ng 90 araw para ayusin ang isyu, ngunit iniulat ng security researcher na nananatili pa rin ang kahinaan sa app.
Habang hinihintay namin ang mga developer ng Zoom na gumawa ng isang bagay tungkol sa kahinaan, ang mga user ay maaaring gumawa ng mga hakbang upang maiwasan ang kahinaan sa pamamagitan ng pag-disable sa setting na nagbibigay-daan sa Zoom na i-on ang camera ng iyong Mac kapag sumasali sa isang pulong.
Tandaan na ang simpleng pag-uninstall sa app ay hindi makakatulong, dahil ini-install ng Zoom ang localhost web server bilang isang proseso sa background na maaaring muling i-install ang Zoom client sa isang Mac nang hindi nangangailangan ng anumang pakikipag-ugnayan ng user bukod sa pagbisita sa isang web page.
Nakakatulong, ang ilalim ng Leitschuh's Katamtamang post may kasamang serye ng mga Terminal command na ganap na mag-a-uninstall sa web server.
Update: Sa isang pahayag na ibinigay sa ZDNet , ipinagtanggol ng Zoom ang paggamit nito ng isang lokal na web server sa mga Mac bilang isang 'workaround' sa mga pagbabagong ipinakilala sa Safari 12. Sinabi ng kumpanya na ang pakiramdam na ang pagpapatakbo ng isang lokal na server sa background ay isang 'lehitimong solusyon sa hindi magandang karanasan ng user, na nagbibigay-daan sa aming mga user na magkaroon ng tuluy-tuloy, isang click-to-join na mga pagpupulong, na siyang aming pangunahing pagkakaiba ng produkto.'
Update 2: Hindi na nagtatanggol ang Zoom at mayroon ngayon ay naglabas ng isang patch .
Mga tag: seguridad , Zoom
Patok Na Mga Post