Foto: Alex Cranz (Gizmodo)
Am Montag, Sicherheitsexperte Jonathan Leitschuh öffentlich offenbart eine schwerwiegende zero-day-Schwachstelle in-conferencing-software Zoom—die anscheinend erreicht der click-to-join-Funktion, die es Benutzern ermöglicht, gehen direkt an einen video-Besprechung aus einem browser-Verknüpfung, auf Mac-Computern durch die Installation eines lokalen web-server läuft als hintergrund-Prozess, der “nimmt Anfragen regelmäßigen Browser würde nicht,” je die Schwelle. Als Ergebnis, Zoom könnte übernommen werden, indem jede website zu zwingen, ein Mac-Benutzer zum beitreten zu einem Anruf, ohne Ihre Erlaubnis, und mit webcams aktiviert, es sei denn, eine bestimmte Einstellung aktiviert war.
Schlimmer noch, Leitschuh schrieb, dass Sie den lokalen web-server bleibt bestehen, auch wenn Zoom deinstalliert und ist in der Lage Neuinstallation der app auf seine eigene, und dass, wenn er die Firma kontaktiert Sie Tat wenig, die Probleme zu lösen.
In einem Medium, das die post am Montag, Leitschuh, sofern eine demo in form eines Links, die, wenn Sie geklickt werden, nahm Mac-Benutzer, die jemals installiert die app auf einer Konferenz mit Ihren video-Kameras aktiviert (es ist hier, wenn man versuchen muss, sich selbst). Leitschuh darauf hingewiesen, dass der code, dies zu tun kann eingebettet werden in eine beliebige website als auch als “bösartige anzeigen, oder es kann verwendet werden als ein Teil einer phishing-Kampagne.” Darüber hinaus Leitschuh schrieb, dass, selbst wenn der Benutzer deinstallieren, Zoom, unsicher lokalen web-server anhält und “gerne re-installieren Sie die Zoom-client ohne Benutzerinteraktion auf Ihren Namen neben dem Besuch einer Webseite.”
Diese Umsetzung lässt offen, andere schändliche Weise zu missbrauchen, die lokalen web-server, pro the Verge:
Einschalten der Kamera ist schon schlimm genug, aber die Existenz der web-server auf Ihren Computer eröffnen könnte größere Probleme für Mac-user. Zum Beispiel, in einer älteren version des Zoom (da gepatcht), war es möglich, die Möglichkeit zum denial-of-service-Angriff auf Macs, indem Sie ständig Ping-web-server: “, Indem er einfach wiederholte Anfragen BEKOMMEN für eine schlechte Zahl, Zoom-app würde ständig request ‘focus’ aus der OS,” Leitschuh schreibt.
Nach Leitschuh, er kontaktiert Zoom am März 26, sagte, er würde Sie offenlegen, die zu nutzen in 90 Tagen. Zoom hast, Frage einen “quick-fix” – patch, der nur Behinderte “ein treffen der Schöpfer die Fähigkeit, automatisch zu ermöglichen, einen Teilnehmer-video-standardmäßig”, fügte er hinzu, obwohl dies war weit von einem vollständigen Lösung (und hat nichts zu negieren, die “Fähigkeit, sich für Angreifer zwangsweise beitreten zu einem Anruf jemand den Besuch einer böswilligen Website”) und kam erst Mitte Juni.
Am 7. Juli schrieb er, eine “regression in den fix” verursacht, dass es nicht mehr funktioniert, und obwohl Zoom veröffentlicht patch auf Sonntag war er in der Lage, eine Problemumgehung erstellen.
Um das Problem zu beheben, Leitschuh, rät Mac-Benutzer, die die app installiert haben, um update auf die neueste version und klicken Sie dann auf eine Schaltfläche in den Einstellungen zu deaktivieren”, mein video, wenn Sie an einem meeting teilnehmen”, wie oben gesehen. Er stellte auch eine Reihe von Terminal-Befehle, deaktivieren Sie den lokalen web-server und verhindern, dass es erneut installieren selbst, das kann sein gesehen in seinem Medium veröffentlichen.
“In meiner Meinung, websites sollten nicht sprechen, um Desktop-Anwendungen wie diese”, Leitschuh gewarnt. “Es ist eine grundlegende sandbox-Browser werden soll, durchzusetzen, um zu verhindern, dass bösartiger code ausgeführt wird, auf Benutzer-Maschinen… Mit jedem Zoom-Benutzer über einen web-server akzeptiert HTTP GET-Anfragen, trigger-code außerhalb der browser-sandbox ist die Malerei ein großes Ziel auf dem Rücken Vergrößern.”
“Ab 2015 Zoom hatte über 40 Millionen Nutzer,” Leitschuh abgeschlossen. “Da Macs sind 10% des PC-Marktes und der Zoom hat ein deutliches Wachstum seit 2015 können wir davon ausgehen, dass mindestens 4 Millionen von Zoom wird der Nutzer auf Mac… Alle die Schwachstellen in diesem Bericht beschrieben, kann dazu ausgenutzt werden, mittels “drive-by-Angriff’ Methoden… ich glaube, dass, um vollständig schützen Sie Benutzer, ich glaube wirklich, dass diese localhost-server-Lösung muss entfernt werden.”
Zoom hat sich auf die Durchführung der click-to-join-Funktion, pro ZDnet, obwohl es sagte, es würde das Thema zusätzliche updates.
In einer Erklärung auf der Website, Zoom schrieb, dass es einen “workaround”, um änderungen in Safari 12, und dass die Ausführung der lokalen web-server als ein hintergrund-Prozess ist eine “legitime Lösung, um eine schlechte Benutzererfahrung, ermöglicht unseren Benutzern eine nahtlose, one-click-to-join-Sitzungen, das ist unser zentrales Produkt Unterscheidungsmerkmal.” Laut ZDNet, Zoom auch sagte, es würde speichern Benutzer’ Entscheidung, ob Sie schalten Sie video in Ihrer ersten nennen und anwenden der Einstellung auf die kommenden Sitzungen.
[ZDnet/The Verge]
Teilen Sie Diese Geschichte