Уязвимость в платформе видеоконференций Zoom поставила под угрозу более 4 млн пользователей Мас (обновлено)

Оставить комментарий
Уязвимость в платформе видеоконференций Zoom поставила под угрозу более 4 млн пользователей Мас (обновлено)

Исследователь безопасности Джонатан Лейтшух обнародовал информацию о серьёзной уязвимости в популярном приложении для веб-конференций Zoom, которая позволяет любому сайту получить доступ к камере и открыть видеовызов без разрешения пользователя Mac, сообщают ZDNet и Securitylab.

Проблема связана с функцией, с помощью которой можно автоматически присоединиться к видеоконференции в Zoom, нажав на ссылку-приглашение в браузере. Для этого приложение устанавливает на систему веб-сервер, который получает команды через запросы HTTPS GET, при этом с ним может взаимодействовать любой сайт, открытый в браузере. Для компрометации злоумышленнику нужно лишь создать приглашение в своей учётной записи на официальном сайте Zoom, встроить её в сторонний ресурс и убедить пользователя Мас посетить его. Приложение принудительно запустится на компьютере и активирует веб-камеру, подвергая пользователя риску атак.

Опасность сохраняется даже после деинсталляции Zoom — локальный веб-сервер автоматически переустановит приложение без участия или разрешения пользователя. Помимо активации камеры, баг можно использовать для вывода Мас из строя, просто отправив большое количество повторяющихся GET-запросов на локальный сервер.

Разработчики Zoom частично исправили уязвимость, отключив возможность активации камеры. Но проблема, позволявшая атакующему принудительно подключить к конференции посетивших вредоносный сайт по-прежнему актуальна.

Уязвимость касается последней версии Zoom (4.4.4) для macOS и затрагивает более 4 млн пользователей компьютеров Apple. Чтобы обезопасить себя, им рекомендуют отключить автоматическую активацию камеры при подключении к видеоконференции в настройках Zoom.

Обновление: Apple выпустила патч, который удаляет скрытый веб-сервер Zoom, остававшийся на системе после деинсталяции приложения. Исправление устанавливается автоматически и не требует взаимодействия с пользователем.

Хотите сообщить важную новость?

Пишите в наш Телеграм

Горячие события

Конкурс EY Entrepreneur Of The Year 2020
31 мая

Конкурс EY Entrepreneur Of The Year 2020

EMERGE 2020
1 июня — 3 июня

EMERGE 2020

Вебинар «Советы от рекрутеров: как найти квалифицированную работу в Европе»
4 июня

Вебинар «Советы от рекрутеров: как найти квалифицированную работу в Европе»

Читайте также

Объём скачанных приложений в 1 квартале вырос на 52%
Объём скачанных приложений в 1 квартале вырос на 52%

Объём скачанных приложений в 1 квартале вырос на 52%

Под угрозой пользовательские данные 24 тысяч Android-приложений
Под угрозой пользовательские данные 24 тысяч Android-приложений

Под угрозой пользовательские данные 24 тысяч Android-приложений

Google сворачивает очередное приложение: на этот раз — музыкальный сервис
Google сворачивает очередное приложение: на этот раз — музыкальный сервис

Google сворачивает очередное приложение: на этот раз — музыкальный сервис

4 комментария
Новая уязвимость Thunderbolt ставит под угрозу миллионы компьютеров
Новая уязвимость Thunderbolt ставит под угрозу миллионы компьютеров

Новая уязвимость Thunderbolt ставит под угрозу миллионы компьютеров

2 комментария

Обсуждение

Комментариев пока нет.
Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже