全球观点:Zoom使用紧急补丁修复了主要的Mac网络摄像头安全漏洞
视频会议提供商Zoom推出了一个紧急补丁,以解决Mac用户的零日漏洞,这些漏洞可能会向攻击者提供实时网络摄像头,并启动您从未打算发布的缩放视频聊天。此举是对Zoom之前立场的意外逆转,该公司将该漏洞视为“低风险”,并为其使用本地网络服务器辩护,该服务器偶然暴露了Zoom用户潜在的攻击。
此漏洞的最新更新中详细介绍了此漏洞的详细信息,现在将“一旦Zoom客户端更新后完全删除本地Web服务器”,即可剥夺恶意第三方自动激活网络摄像头的能力缩放链接。该漏洞源于Zoom将本地Web服务器安装到安装其应用程序的Mac计算机上,这允许平台绕过Safari 12中的安全措施,该安全措施通过对话框提示用户确认加入新会议。
(相关资料图)
在这篇文章最初发布后接受The Verge的采访时,Zoom的首席信息安全官理查德法利解释了公司今天面对的问题:
最终,它基于一直关注这一点并为讨论做出贡献的人们的反馈。我们的原始立场是安装此[Web服务器]流程以使用户无需进行额外点击即可加入会议 - 我们认为这是正确的决定。这是我们的一些客户的要求。
但我们也承认并尊重其他人的观点,他们说他们不希望在本地计算机上安装额外的流程。所以这就是我们决定删除该组件的原因 - 尽管事实上它需要从Safari进行额外的点击。
虽然Farley认为它安装的网络服务器“被剥夺了其功能”并且是安全的,但该公司选择将其删除。另外一个值得关注的问题是能够在网页内的iframe中包含缩放链接 - Farley说Zoom不会阻止该功能,因为太多的大型企业客户实际上在他们的Zoom软件实现中使用iframe。
[更新]我们博客前面详述的Mac设备上的Zoom应用程序的7月9日补丁现已上线。将介绍其中包含的各种修补程序的详细信息,以及如何更新Zoom软件。请参阅博客文章:https://t.co/56yDgoZf1U
- 缩放(@zoom_us)2019年7月9日
Zoom表示,它使用本地Web服务器使其服务更快,更容易使用 - 换句话说,只需点击几下鼠标即可。但是,服务器还创建了一种罕见但现在的可能性,恶意网站可以通过使用iframe激活您的网络摄像头,绕过Safari的内置保护。在自打补丁版本的Zoom中,同样的漏洞也可能被用于通过持续ping到本地Web服务器来对某人进行拒绝服务攻击。
这是更新文本,以及Zoom有关如何安装和/或完全删除Web服务器的说明:
计划于今晚(七月九日)在太平洋时间上午十二时或之前进行的补丁将会执行以下操作:
1.更新Zoom客户端后,完全删除本地Web服务器 - 我们将停止在Mac设备上使用本地Web服务器。部署修补程序后,将在缩放用户界面(UI)中提示Mac用户更新其客户端。更新完成后,将在该设备上完全删除本地Web服务器。
2.允许用户手动卸载缩放 - 我们在缩放菜单栏中添加了一个新选项,允许用户手动和完全卸载缩放客户端,包括本地Web服务器。部署修补程序后,将出现一个新的菜单选项,显示“卸载缩放”。单击该按钮,将从用户设备中完全删除缩放以及用户保存的设置。
在Leitschuh昨天发布的一篇媒体帖子中,首先详细说明了漏洞,Zoom表示将在本月晚些时候推出一项更新,让用户可以保存视频通话首选项,以便在加入新通话时网络摄像头可以保持关闭状态。这可以通过将您的偏好转移到新的呼叫,包括可能被屏蔽的垃圾链接,旨在让您点击并意外激活您的网络摄像头。
对于一些评论家而言,这还不够,因为Zoom仍然有效地绕过Apple安全,因此它可以立即启动Zoom调用而无需用户确认。Farley在该公司博客文章的原始版本中写道,最初,Zoom为网络服务器辩护,认为这是“解决不良用户体验问题的合法解决方案,使我们的用户能够进行更快,一键加入的会议”。
我的意思是,平台所有者决定在没有批准点击的情况下,网址不应该打开其他应用程序 - 这是一个非常合理的安全措施。你作为一家公司的反应可能不应该是,“让我们通过无形安装一个潜在安全漏洞的服务器来绕过这个问题。”
- 杰森斯内尔(@jsnell),2019年7月9日
Leitschuh最初在3月份让Zoom意识到了这个问题,他给了Zoom 90天的回应。它最终决定不改变应用程序功能,“法利写道。所以Leitschuh在拒绝加入Zoom的bug赏金计划之后上市,因为Zoom描述了对其不披露政策的不同意见。
但根据Leitschuh,缩放CEO埃里克·袁今天早些时候作出了“关于全脸”,道歉的回应,并放大一拖再拖上解决漏洞,有线报告。顺便提一下,袁先生向Leitschuh和其他研究人员宣布了他们创建的一个测试Zoom频道,以证明他们对漏洞严重性的看法。
与@zoom_us首席执行官在“派对聊天”中的对话非常富有成效。感觉就像他们之前对#vulnerability的立场一样。看到一位首席执行官愿意与一群陌生人打电话来承担责任,这真是令人鼓舞。
- Jonathan Leitschuh(@JLLeitschuh),2019年7月9日
Farley坚持认为,安全研究员Jonathan Leitschuh昨天披露的漏洞的相对安全风险并不像Leitschuh那样严重。他还认为,Zoom在初次披露期间迅速采取行动,以解决其认为存在问题的安全问题,即DDoS的可能性。
展望未来,注意力可能会从Zoom转移到安装Web服务器进程或其他隐藏的“帮助”软件的其他软件。正如Farley在Zoom对该实践的最初辩护中所说,“我们并不是唯一一家实施此解决方案的视频会议提供商。”正如其他人在Twitter上所指出的那样,这种做法远远超出了视频会议软件。
他们远非孤身一人,快速`lsof -i |grep LISTEN`显示我有:Spotify,Keybase,KBFS,iTunes,Numi,https://t.co/MVSAJgN9yY......所有正在运行的本地监听Web服务器。
- Matthew Gregg(@braintube),2019年7月9日
我们询问Farley他是否有任何关于整个行业的下一步可能在道德上和安全地在计算机上实施这些背景过程的想法。“在公关危机中,这是一个难以回答的问题,”他说。“我不确定我是否已准备好向同行提供建议,但也许我们可以稍后进行跟进。”
关键词:
相关阅读
-
全球观点:Zoom使用紧急补丁修复了主要...
视频会议提供商Zoom推出了一个紧急补丁,以解决Mac用户的零日漏洞,... -
兼怎么组词语 汉字兼怎么组词语
1、兼差[jiānchāi]兼职的旧称。2、兼毫[jiānháo]用狼毫(黄鼠狼... -
世界微资讯!科技资讯:魅族17有红外线...
最近小编发现有诸多的小伙伴们对于魅族17有红外线这个功能吗都颇为... -
焦点快看:Poco C3相机设置在发布前被...
小蜜支脉波科将推出的波苏C310月6日,并提前揭幕的短短几天中,中国... -
世界动态:未来两天,“海巡06”将持续在...
4月5日上午9时,由台湾海峡大型巡航救助船“海巡06”轮领衔的海事执... -
消防栓被撞断,水柱高达3米,“蓝朋友”...
4月4日6时25分,浦东新区消防救援支队庆宁消防救援站接警,金口路靠... -
环球新消息丨首批因AI失业的人来了!知...
根据时代财经消息,某游戏美术外包公司的技术总监透露,在近一个月... -
热点评!学生趴睡手指压出淤血变紫,网...
4月4日,据白鹿视频报道,广东广州一学生拍到同学睡觉压手,手指发... -
【当前热闻】300元一杯柠檬茶!商家因虚...
一杯柠檬茶300元?日前,上海玖月粮仓品牌管理有限公司因虚假或者引... -
今日最新!起诉书公开,特朗普面临34项...
当地时间4日下午,美国前总统特朗普抵达位于纽约曼哈顿下城区的曼哈... -
每日快讯!右侧底角,又见绝杀!
北京首钢VS山西汾酒股份105-103 我陪首钢战 雷蒙!绝杀!最后5秒... -
大众ID.7内饰首发,国产版将亮相上海车展
4月5日消息,大众ID 7实车内饰图曝光,采用内嵌式仪表盘、一个横置... -
集字怎么组词 集可以组什么词
1、全集[quánjí]:一个作者、一个流派作者的全部著作集合编成的书... -
【全球新视野】3月交付1,937台,智己LS7...
4月4日,智己汽车公布智己LS7的3月交付量,3月共计交付1,937台。不... -
天天要闻:中国电科回应“员工痛批强制...
人民网北京4月5日电(记者孙红丽)4月4日,疑似“中国电科员工怒怼... -
世界新消息丨飞鸟娱乐论坛下载(飞鸟娱...
飞鸟娱乐论坛下载,飞鸟娱乐论坛这个很多人还不知道,现在让我们一起... -
当前短讯!缩减债务规模 核心业务盈利...
人民网北京4月4日电(记者孙红丽)3月30日,合生创展发布2022全年业... -
海淘的childlife大瓶钙含防腐剂?专家建...
极目新闻记者云迎 胡浩近日,上海的李女士反映,她在给孩子补钙时... -
当前热议!或有魔毯悬挂,比亚迪将发布云...
众所周知,近些年比亚迪靠着刀片电池、DM-i超级混动等硬核技术,打... -
【环球播资讯】GNEV13第二届车主代表大...
GNEV13第二届车主代表大会正在如火如荼的筹备中,相信这是最为特别...