ช่องโหว่ซีโร่เดย์ที่ร้ายแรงใน ซูม แอปการประชุมทางวิดีโอสำหรับ Mac ได้รับการเปิดเผยต่อสาธารณะในวันนี้โดย Jonathan Leitschuh นักวิจัยด้านความปลอดภัย
ใน โพสต์ขนาดกลาง Leitschuh แสดงให้เห็นว่าเพียงแค่การเยี่ยมชมหน้าเว็บทำให้ไซต์สามารถบังคับเริ่มแฮงเอาท์วิดีโอบน Mac ที่ติดตั้งแอป Zoom
ข้อบกพร่องดังกล่าวส่วนหนึ่งเกิดจากเว็บเซิร์ฟเวอร์ที่แอพ Zoom ติดตั้งบน Mac ที่ 'ยอมรับคำขอที่เบราว์เซอร์ปกติไม่ทำ' ตามที่ระบุไว้โดย The Verge ซึ่งยืนยันช่องโหว่อย่างอิสระ
นอกจากนี้ Leitschuh ยังกล่าวอีกว่าในเวอร์ชันเก่าของ Zoom (ตั้งแต่แพตช์) ช่องโหว่ดังกล่าวทำให้หน้าเว็บใดๆ ก็ตามไปยัง DOS (การปฏิเสธการให้บริการ) Mac โดยการเข้าร่วมผู้ใช้กับการโทรที่ไม่ถูกต้องซ้ำๆ จากข้อมูลของ Leitschuh สิ่งนี้อาจยังคงเป็นอันตรายเพราะ Zoom ขาด 'ความสามารถในการอัปเดตอัตโนมัติที่เพียงพอ' ดังนั้นจึงมีแนวโน้มที่จะมีผู้ใช้ที่ยังคงใช้งานแอปเวอร์ชันเก่าอยู่
Leitschuh กล่าวว่าเขาเปิดเผยปัญหาต่อ Zoom เมื่อปลายเดือนมีนาคม โดยให้เวลาบริษัท 90 วันในการแก้ไขปัญหา แต่นักวิจัยด้านความปลอดภัยรายงานว่าช่องโหว่ยังคงอยู่ในแอป
ขณะที่เรารอให้นักพัฒนา Zoom ดำเนินการบางอย่างเกี่ยวกับช่องโหว่นี้ ผู้ใช้สามารถทำตามขั้นตอนต่างๆ เพื่อป้องกันช่องโหว่ดังกล่าวได้ด้วยตนเอง โดยปิดใช้งานการตั้งค่าที่อนุญาตให้ Zoom เปิดกล้อง Mac ของคุณเมื่อเข้าร่วมการประชุม
โปรดทราบว่าการถอนการติดตั้งแอปเพียงอย่างเดียวไม่ได้ช่วยอะไร เนื่องจาก Zoom จะติดตั้งเว็บเซิร์ฟเวอร์ในพื้นที่เป็นกระบวนการพื้นหลังที่สามารถติดตั้งไคลเอ็นต์ Zoom ใหม่บน Mac ได้โดยไม่ต้องมีการโต้ตอบใดๆ กับผู้ใช้ นอกเหนือจากการไปที่หน้าเว็บ
อย่างมีประโยชน์ด้านล่างของ Leitschuh's โพสต์ขนาดกลาง รวมชุดคำสั่ง Terminal ที่จะถอนการติดตั้งเว็บเซิร์ฟเวอร์อย่างสมบูรณ์
อัปเดต: ในแถลงการณ์ที่มอบให้กับ ZDNet Zoom ปกป้องการใช้เว็บเซิร์ฟเวอร์ในพื้นที่บน Mac เป็น 'วิธีแก้ปัญหา' ต่อการเปลี่ยนแปลงที่เปิดตัวใน Safari 12 บริษัทกล่าวว่ารู้สึกว่าการเรียกใช้เซิร์ฟเวอร์ภายในเครื่องในพื้นหลังเป็น 'วิธีแก้ปัญหาที่ถูกต้องสำหรับประสบการณ์การใช้งานที่ไม่ดี ช่วยให้ผู้ใช้ของเรามีการประชุมแบบคลิกเพื่อเข้าร่วมได้อย่างราบรื่น ซึ่งเป็นตัวสร้างความแตกต่างของผลิตภัณฑ์หลักของเรา'
อัปเดต 2: ซูมไม่มีท่าป้องกันอีกต่อไปและมี ตอนนี้ออกแพตช์ .
Tags: ความปลอดภัย , Zoom
โพสต์ยอดนิยม