Nopietna nulles dienas ievainojamība Tālummaiņa Drošības pētnieks Džonatans Leičuhs šodien publiski atklāja videokonferenču lietotni operētājsistēmai Mac.
Iekšā Vidēja ziņa , Leitschuh pierādīja, ka, vienkārši apmeklējot tīmekļa lapu, vietne var piespiedu kārtā uzsākt videozvanu Mac datorā, kurā ir instalēta lietojumprogramma Zoom.
Tiek uzskatīts, ka defekts daļēji ir saistīts ar tīmekļa serveri, ko Mac datoros instalē lietotne Zoom, kas “pieņem pieprasījumus, ko parastās pārlūkprogrammas nepieņem”, kā atzīmēja The Verge , kas neatkarīgi apstiprināja ievainojamību.
Turklāt Leitschuh saka, ka vecākā Zoom versijā (kopš labošanas) ievainojamība ļāva jebkurai vietnei izmantot DOS (pakalpojuma atteikumu) Mac datorā, atkārtoti pievienojot lietotāju nederīgam zvanam. Pēc Leitschuh domām, tas joprojām var būt bīstams, jo Zoom trūkst 'pietiekamu automātiskās atjaunināšanas iespēju', tāpēc, iespējams, ir lietotāji, kuri joprojām izmanto vecākas lietotnes versijas.
Leitschuh teica, ka viņš atklāja problēmu Zoom marta beigās, dodot uzņēmumam 90 dienas, lai atrisinātu problēmu, taču drošības pētnieks ziņo, ka ievainojamība joprojām ir lietotnē.
Kamēr mēs gaidām, kamēr Zoom izstrādātāji kaut ko darīs ar ievainojamību, lietotāji var veikt pasākumus, lai paši novērstu ievainojamību, atspējojot iestatījumu, kas ļauj Zoom ieslēgt jūsu Mac kameru, pievienojoties sapulcei.
Ņemiet vērā, ka vienkārša lietotnes atinstalēšana nepalīdzēs, jo Zoom instalē lokālo resursdatora tīmekļa serveri kā fona procesu, kas var atkārtoti instalēt Zoom klientu Mac datorā, neprasot lietotāja mijiedarbību, izņemot tīmekļa lapas apmeklēšanu.
Palīdzīgi, Leitschuh's apakšā Vidēja ziņa ietver vairākas termināļa komandas, kas pilnībā atinstalēs tīmekļa serveri.
Atjaunināt: Paziņojumā, kas sniegts ZDNet , Zoom aizstāvēja vietējā tīmekļa servera izmantošanu Mac datoros kā “risinājumu” izmaiņām, kas tika ieviestas programmā Safari 12. Uzņēmums paziņoja, ka tā uzskata, ka lokālā servera darbināšana fonā ir “leģitīms risinājums sliktai lietotāju pieredzei, ļaujot mūsu lietotājiem nodrošināt netraucētas sapulces, ar vienu klikšķi, lai pievienotos, kas ir mūsu galvenais produktu atšķirības faktors.
2. atjauninājums: Tālummaiņa vairs neieņem aizsardzības pozīciju un ir tagad izlaida ielāpu .
Birkas: drošība , Tālummaiņa
Populārākas Posts