快捷搜索:  呼伦贝尔  as  呼伦贝尔A=0  test  奇乐  德诚奥科
德扑圈俱乐部 厦门镀锌管厦门螺旋管 2018最火爆网赚项目 成都公司注册 成都代理记账
郫县公司注册 郫都区公司注册 拼多多空包网,空包网 已买过优惠券 大发计划
幸运飞艇走势技巧 新葡京娱乐城提款秒到 9玩吧棋牌 竞彩优惠活动注册即送 候车亭制作厂家
新葡京娱乐城提款秒到 软文代写代发 免费招标网 捕鱼棋牌 存50送50 美女导师带你赚钱
东方国际 免费在线看AV 日赚5000不是梦! 抖音直播四海公会 彩娱乐官网
网赌被黑不给提款 免费看美女出浴视频 免费看美女出浴视频 VIP福利电影免费点播 代还信用卡
铝合金仿古门窗哪家好 网赌被黑提款系统维护 羞羞影视 百家乐正规实体官网 天天时时彩送送送
复古传奇英雄合击 快速排名 1-7天上首页 注册不花钱就能挣钱 美女荷官在线发牌 电话轰炸机 呼死你

Zoom应用被曝严重安全漏洞 任何网站可劫持Mac摄像

研究人员乔纳森·莱特舒赫按照“零日方法”规则披露了Zoom应用的一个严重安全漏洞。在该漏洞中,为改善用户体验而安装的Web服务器会使系统面临恶意攻击,网络摄像头可以激活。

1000.webp

7月9日消息,据外媒报道,如果你是数百万Zoom视频会议用户中的一员,并且在Mac上安装了这款应用程序,那么网系统会建议你检查设置,以确保默认情况下禁用摄像头。在设置视频部分,你可以找到“加入会议时关闭视频”的勾选框。

这是因为,研究人员乔纳森·莱特舒赫(Jonathan Leitschuh)按照“零日方法”规则披露了Zoom应用的一个严重安全漏洞,同时建议用户确保在公司发布补丁时更新他们的应用程序。

该漏洞利用Zoom中的架构漏洞进行攻击。在该漏洞中,为改善用户体验而安装的Web服务器会使系统面临恶意攻击,网络摄像头可以激活。本质上,通过强制邀请用户参加Zoom呼叫,以发起拒绝服务攻击(因为打了补丁),并且可以重新激活卸载的应用程序,所有这些都不需要用户许可。

Zoom解释说,这样做是为了改善零散的用户体验,是对Safari 12进行升级的变通办法,这是“一个针对糟糕用户体验的合法解决方案,使我们的用户能够无缝地一键加入会议,这是我们的关键产品差异化。”

然而,莱特舒赫在他的披露中说:“首先,在我的本地机器上安装运行Web服务器的Zoom应用程序,使用完全没有文档记录的API,对我来说感觉非常粗略。其次,我访问的任何网站都可以与运行在我机器上的这个Web服务器进行交互,这对对于作为安全研究员的我来说,是一个巨大的危险信号。”

莱特舒赫指责Zoom通过使用本地服务器“在背后制定了巨大的目标”,通过一个架构糟糕的技术解决方案让数百万用户陷入遭到网络攻击的危险中,这种解决方案以改善用户体验为借口基本上绕过了用户浏览器的安全保护措施,而这些保障措施显然是有充分理由的。

莱特舒赫在3月份向Zoom披露了这个问题,他说:“利用令人惊讶的、功能简单的Zoom漏洞,你只需向任何人发送会议链接(例如https://zoom.us/j/492468757),当他们在浏览器中打开该链接时,他们的Zoom客户端在他们的本地机器上就能神奇地打开,这让用户很容易陷入攻击危险之中。”

在披露中,莱特舒赫表示,Zoom推迟了对漏洞的处理,直到90天未披露“宽限期”结束前18天才开始讨论他的发现。然后,在6月24日,“经过90天的等待,也就是公开披露截止日期前的最后一天”,Zoom只是简单地部署了他三个月前向该公司提出的“快速解决方案”。

莱特舒赫说:“最终,Zoom未能快速确认报告的漏洞确实存在,他们也未能及时将问题的解决方案交付给客户。拥有如此庞大的用户群的组织,本应更积极主动地保护其用户免受攻击。”

精通技术的用户可以找到并删除应用程序,但对于我们其余的人,应该改变视频设置并保持应用程序更新。目前还没有迹象表明Zoom会进行重大技术上的改变,以解决这个架构上的弱点,所以改变视频设置并保持它的改变,似乎是避免遭到攻击的最佳方式。

在一份声明中,Zoom确认了这个问题,并承认“如果攻击者能够诱使目标用户点击指向攻击者Zoom会议的Web链接,无论是在电子邮件消息中还是在网络服务器上,目标用户都可能在不知情的情况下加入攻击者的Zoom会议。”

Zoom补充说,其7月份的更新“将应用并保存用户从第一次Zoom会议到未来所有Zoom会议的视频首选项。用户和系统管理员仍然可以配置他们的客户端视频设置,以便在加入会议时关闭视频。此更改将应用于所有客户端平台。”

Zoom表示:“我们非常认真地对待与我们产品相关的所有安全问题,并有一个专门的安全团队。我们承认,我们的网站目前没有为报告安全问题提供明确的信息。在未来几周,Zoom将使用其公共漏洞奖励计划,补充我们现有的私人奖励计划。”

不过,莱特舒赫对此仍持怀疑态度,并建议转而采用“零日策略”,这显然更能确保这类曝光受到关注。

(来源:腾讯    审校:金鹿)

THE END

您可能还会对下面的文章感兴趣: