Een ernstige zero-day kwetsbaarheid in de Zoom videoconferentie-app voor Mac is vandaag openbaar gemaakt door beveiligingsonderzoeker Jonathan Leitschuh.
In een Medium bericht , toonde Leitschuh aan dat het bezoeken van een webpagina de site in staat stelt om met geweld een videogesprek te starten op een Mac waarop de Zoom-app is geïnstalleerd.
De fout zou deels te wijten zijn aan een webserver die de Zoom-app op Macs installeert en die 'verzoeken accepteert die normale browsers niet zouden doen', zoals opgemerkt door De rand , die de kwetsbaarheid onafhankelijk bevestigden.
Bovendien zegt Leitschuh dat in een oudere versie van Zoom (sinds de patch) de kwetsbaarheid het elke webpagina mogelijk maakte om een Mac DOS (Denial of Service) te gebruiken door herhaaldelijk een gebruiker te laten deelnemen aan een ongeldige oproep. Volgens Leitschuh kan dit nog steeds een gevaar zijn omdat Zoom 'voldoende auto-update-mogelijkheden' mist, dus het is waarschijnlijk dat gebruikers nog oudere versies van de app gebruiken.
Leitschuh zei dat hij het probleem eind maart aan Zoom had bekendgemaakt, waardoor het bedrijf 90 dagen de tijd had om het probleem op te lossen, maar de beveiligingsonderzoeker meldt dat de kwetsbaarheid nog steeds in de app aanwezig is.
Terwijl we wachten tot de Zoom-ontwikkelaars iets aan het beveiligingslek doen, kunnen gebruikers zelf stappen ondernemen om het beveiligingslek te voorkomen door de instelling uit te schakelen waarmee Zoom de camera van je Mac kan inschakelen wanneer je aan een vergadering deelneemt.
Merk op dat het eenvoudigweg verwijderen van de app niet zal helpen, omdat Zoom de localhost-webserver installeert als een achtergrondproces dat de Zoom-client opnieuw op een Mac kan installeren zonder enige gebruikersinteractie behalve het bezoeken van een webpagina.
Handig, de onderkant van Leitschuh's Medium bericht bevat een reeks Terminal-opdrachten die de webserver volledig zullen verwijderen.
Update: In een verklaring gegeven aan ZDNet , verdedigde Zoom het gebruik van een lokale webserver op Macs als een 'oplossing' voor wijzigingen die in Safari 12 waren geïntroduceerd. Het bedrijf zei dat het van mening was dat het draaien van een lokale server op de achtergrond een 'legitieme oplossing was voor een slechte gebruikerservaring, waardoor onze gebruikers naadloos kunnen vergaderen met één klik om deel te nemen, wat onze belangrijkste productdifferentiator is.'
bijwerken 2: Zoom neemt niet langer een defensieve houding aan en heeft nu een patch uitgebracht .
Tags: beveiliging , Zoom
Populaire Berichten