Zoom应用被曝严重安全漏洞 任何网站可劫持Mac摄像头

  • 时间:
  • 浏览:1
  • 来源:5分快乐8玩法_五分快乐8技巧_五分快乐8官网

研究人员乔纳森·莱特舒赫按照“零日土方法”规则披露了Zoom应用的有兩个严重安全漏洞。在该漏洞中,为改善用户体验而安装的Web服务器会使系统面临恶意攻击,网络摄像头还不还上能激活。

7月9日消息,据外媒报道,就让 你是数百万Zoom视频会议用户中的一员,怎么让在Mac上安装了这款应用系统线程,如此 网系统会建议你检查设置,以确保默认情形下禁用摄像头。在设置视频要素,让人找到“加入会议时关闭视频”的勾选框。

这是就让 ,研究人员乔纳森·莱特舒赫(Jonathan Leitschuh)按照“零日土方法”规则披露了Zoom应用的有兩个严重安全漏洞,一齐建议用户确保在公司发布补丁时更新大伙儿的应用系统线程。

该漏洞利用Zoom中的架构漏洞进行攻击。在该漏洞中,为改善用户体验而安装的Web服务器会使系统面临恶意攻击,网络摄像头还不还上能激活。本质上,通过强制邀请用户参加Zoom呼叫,以发起拒绝服务攻击(就让 打了补丁),然还不还上上能重新激活卸载的应用系统线程,所有那此有的是需要用户许可。

Zoom解释说,就让做是为了改善零散的用户体验,是对Safari 12进行升级的变通土方法,这是“有兩个针对糟糕用户体验的合法处理方案,使大伙儿的用户不要再还上能无缝地一键加入会议,这是大伙儿的关键产品差异化。”

然而,莱特舒赫在他的披露中说:“首先,在我的本地机器上安装运行Web服务器的Zoom应用系统线程,使用完正如此 文档记录的API,对我来说感觉非常粗略。其次,我访问的任何网站都还不还上能与运行在我机器上的这种 Web服务器进行交互,这对对于作为安全研究员的我来说,是有兩个巨大的危险信号。”

莱特舒赫指责Zoom通过使用本地服务器“在眼前 制定了巨大的目标”,通过有兩个架构糟糕的技术处理方案让数百万用户陷入遭到网络攻击的危险中,这种 处理方案以改善用户体验为借口基本上绕过了用户浏览器的安全保护土方法,而那此保障土方法显然是有充分理由的。

莱特舒赫在3月份向Zoom披露了这种 什么的什么的问题 ,我知道你:“利用令人惊讶的、功能简单的Zoom漏洞,你只需向任何人发送会议链接(同类https://zoom.us/j/492468757),当大伙儿在浏览器中打开该链接时,大伙儿的Zoom客户端在大伙儿的本地机器上就能神奇地打开,这让用户很容易陷入攻击危险之中。”

在披露中,莱特舒赫表示,Zoom推迟了对漏洞的处理,直到90天未披露“宽限期”刚现在始于前18天才刚现在始于讨论他的发现。怎么让,在6月24日,“经过90天的听候,也就让公开披露截止日期前的最后一天”,Zoom就让简单地部署了他有兩个月前向该公司提出的“快速处理方案”。

莱特舒赫说:“最终,Zoom未能快速确认报告的漏洞其实占据 ,大伙儿也未能及时将什么的什么的问题 的处理方案交付给客户。拥有如此 庞大的用户群的组织,本应更积极主动地保护其用户免受攻击。”

精通技术的用户还不还上能找到并删除应用系统线程,但对于大伙儿其余的人,应该改变视频设置并保持应用系统线程更新。目前还如此 迹象表明Zoom会进行重大技术上的改变,以处理这种 架构上的弱点,好多好多 改变视频设置并保持它的改变,似乎是处理遭到攻击的最佳土方法。

在一份声明中,Zoom确认了这种 什么的什么的问题 ,并承认“就让 攻击者不要再还上能诱使目标用户点击指向攻击者Zoom会议的Web链接,无论是在电子邮件消息中还是在网络服务器上,目标用户都就让 在不知情的情形下加入攻击者的Zoom会议。”

Zoom补充说,其7月份的更新“将应用并保存用户从第一次Zoom会议到未来所有Zoom会议的视频首选项。用户和系统管理员仍然还不还上能配置大伙儿的客户端视频设置,以便在加入会议时关闭视频。此更改将应用于所有客户端平台。”

Zoom表示:“大伙儿非常认真地对待与大伙儿产品相关的所有安全什么的什么的问题 ,并有有兩个专门的安全团队。大伙儿承认,大伙儿的网站目前如此 为报告安全什么的什么的问题 提供明确的信息。在未来几周,Zoom将使用其公共漏洞奖励计划,补充大伙儿现有的私人奖励计划。”

不过,莱特舒赫对此仍持怀疑态度,并建议转而采用“零日策略”,这显然更能确保同类曝光受到关注。

(来源:腾讯科技    审校:金鹿)