来源: 时间:2022-11-27 17:35:09
美国安全研究人员乔纳森·莱特舒 (Jonathan Leitschuh) 周一公开披露了Zoom视频会议软件中的一个主要零日漏洞。Leitschuh已经证明,任何网站都可以在由Zoom应用程序安装的web服务器的帮助下,通过Mac上的Zoom软件启动启用视频的通话。
根据The Verge的报告,服务器接受常规不接受的请求。该报告进一步说,即使您卸载了Zoom软件,服务器仍将保留,并且可以在无需用户选择的情况下重新安装Zoom。根据Leitschuh的调查结果,Zoom软件可能会被任何网站劫持,除非启用特定设置,否则即使未经其许可,也可以迫使Mac用户与激活的网络摄像头一起加入通话。
在周一发布的中型帖子中,Leitschuh通过链接形式进行了演示,单击该链接后,Mac用户 (当前正在使用/或以前曾使用过Zoom应用程序) 进入会议室激活其网络摄像头。他指出,此特定代码可以嵌入到任何网站上,也可以嵌入到恶意广告或网络钓鱼活动中。
Leitschuh进一步写道,即使Mac用户卸载了Zoom应用程序,本地web服务器仍然保留,它将 “很高兴为您重新安装Zoom客户端,除了访问网页外,无需代表您进行任何用户交互。”
Verge在其报告中表示,他们通过使用Leitschuh的演示自己尝试了该漏洞,并且能够确认,如果Mac用户使用了Zoom应用程序并且未选中设置中的特定复选框,则单击链接确实存在该问题。链接自动将用户加入打开网络摄像头的电话会议。
根据Leitschuh的说法,他已于今年早些时候与Zoom 3月26日联系,并表示他将在90天内公开披露该漏洞。据他说,Zoom似乎在解决问题方面做得还不够。Chromium和Mozilla团队也披露了这个特殊的漏洞,但是,因为这不是他们的浏览器的问题,所以这些开发人员对此无能为力。
为了解决这个特定的问题,Leitschuh建议安装了Zoom应用程序的Mac用户将其更新到最新版本,然后选中设置中的框 “参加会议时关闭我的视频”。他还在Medium post中提供了一系列命令,这些命令可以禁用本地web服务器并阻止其重新安装。
公开披露后,Zoom在致the Verge和ZDNet的声明中表示,它已经开发了本地web服务器,以节省Mac用户的一些点击次数。apple更改了Safari浏览器后,要求Zoom用户确认他们希望每次启动Zoom。Verge报告称,Zoom将变通方法辩护为 “解决糟糕的用户体验的合法解决方案,使我们的用户能够无缝、一键式加入会议,这是我们的关键产品差异化因素。”
根据该报告,Zoom表示,它将以较小的方式调整应用程序: 从7月开始,该应用程序将保存用户和管理员对视频是否打开的偏好,当他们第一次加入通话时。
相关推荐
猜你喜欢
