Une grave vulnérabilité zero-day dans le Zoom L'application de visioconférence pour Mac a été rendue publique aujourd'hui par le chercheur en sécurité Jonathan Leitschuh.
Dans un Poste moyen , Leitschuh a démontré que le simple fait de visiter une page Web permet au site de lancer de force un appel vidéo sur un Mac avec l'application Zoom installée.
La faille serait en partie due à un serveur Web que l'application Zoom installe sur les Mac qui ' accepte les demandes que les navigateurs normaux n'accepteraient pas ', comme l'a noté Le bord , qui a confirmé indépendamment la vulnérabilité.
De plus, Leitschuh dit que dans une ancienne version de Zoom (depuis corrigée), la vulnérabilité permettait à n'importe quelle page Web de DOS (Denial of Service) un Mac en joignant à plusieurs reprises un utilisateur à un appel invalide. Selon Leitschuh, cela peut toujours être un danger car Zoom ne dispose pas de « capacités de mise à jour automatique suffisantes », il est donc probable que des utilisateurs exécutent encore d'anciennes versions de l'application.
Leitschuh a déclaré avoir divulgué le problème à Zoom fin mars, donnant à l'entreprise 90 jours pour résoudre le problème, mais le chercheur en sécurité rapporte que la vulnérabilité persiste dans l'application.
Pendant que nous attendons que les développeurs de Zoom fassent quelque chose contre la vulnérabilité, les utilisateurs peuvent prendre des mesures pour empêcher eux-mêmes la vulnérabilité en désactivant le paramètre qui permet à Zoom d'allumer la caméra de votre Mac lorsqu'ils rejoignent une réunion.
Notez que la simple désinstallation de l'application n'aidera pas, car Zoom installe le serveur Web localhost en tant que processus d'arrière-plan qui peut réinstaller le client Zoom sur un Mac sans nécessiter aucune interaction de l'utilisateur en plus de visiter une page Web.
Heureusement, le fond de Leitschuh Poste moyen comprend une série de commandes Terminal qui désinstalleront complètement le serveur Web.
Mettre à jour: Dans une déclaration donnée à ZDNet , Zoom a défendu son utilisation d'un serveur Web local sur Mac comme une 'solution de contournement' aux modifications introduites dans Safari 12. La société a déclaré qu'elle estimait que l'exécution d'un serveur local en arrière-plan était une 'solution légitime à une mauvaise expérience utilisateur, permettant à nos utilisateurs d'avoir des réunions transparentes en un clic, ce qui est notre principal différenciateur de produit.'
Mise à jour 2 : Zoom n'adopte plus une position défensive et a maintenant publié un patch .
Tags: sécurité , Zoom
Articles Populaires