1. 首頁 > 生活經驗 > >

Zoom使用緊急補丁修復了主要的Mac網絡攝像頭安全漏洞

知識經驗


Zoom使用緊急補丁修復了主要的Mac網絡攝像頭安全漏洞

文章插圖
視頻會議提供商Zoom推出了一個緊急補丁,以解決Mac用戶的零日漏洞,這些漏洞可能會向攻擊者提供實時網絡攝像頭,并啟動您從未打算發布的縮放視頻聊天 。此舉是對Zoom之前立場的意外逆轉,該公司將該漏洞視為“低風險”,并為其使用本地網絡服務器辯護,該服務器偶然暴露了Zoom用戶潛在的攻擊 。
此漏洞的最新更新中詳細介紹了此漏洞的詳細信息,現在將“一旦Zoom客戶端更新后完全刪除本地Web服務器”,即可剝奪惡意第三方自動激活網絡攝像頭的能力縮放鏈接 。該漏洞源于Zoom將本地Web服務器安裝到安裝其應用程序的Mac計算機上,這允許平臺繞過Safari 12中的安全措施 , 該安全措施通過對話框提示用戶確認加入新會議 。
在這篇文章最初發布后接受The Verge的采訪時,Zoom的首席信息安全官理查德法利解釋了公司今天面對的問題:
最終,它基于一直關注這一點并為討論做出貢獻的人們的反饋 。我們的原始立場是安裝此[Web服務器]流程以使用戶無需進行額外點擊即可加入會議 - 我們認為這是正確的決定 。這是我們的一些客戶的要求 。
【Zoom使用緊急補丁修復了主要的Mac網絡攝像頭安全漏洞】但我們也承認并尊重其他人的觀點 , 他們說他們不希望在本地計算機上安裝額外的流程 。所以這就是我們決定刪除該組件的原因 - 盡管事實上它需要從Safari進行額外的點擊 。
雖然Farley認為它安裝的網絡服務器“被剝奪了其功能”并且是安全的,但該公司選擇將其刪除 。另外一個值得關注的問題是能夠在網頁內的iframe中包含縮放鏈接 - Farley說Zoom不會阻止該功能,因為太多的大型企業客戶實際上在他們的Zoom軟件實現中使用iframe 。
[更新]我們博客前面詳述的Mac設備上的Zoom應用程序的7月9日補丁現已上線 。將介紹其中包含的各種修補程序的詳細信息,以及如何更新Zoom軟件 。請參閱博客文章:https:///56yDgoZf1U
- 縮放(@zoom_us)2019年7月9日
Zoom表示,它使用本地Web服務器使其服務更快,更容易使用 - 換句話說,只需點擊幾下鼠標即可 。但是,服務器還創建了一種罕見但現在的可能性,惡意網站可以通過使用iframe激活您的網絡攝像頭,繞過Safari的內置保護 。在自打補丁版本的Zoom中,同樣的漏洞也可能被用于通過持續ping到本地Web服務器來對某人進行拒絕服務攻擊 。
這是更新文本,以及Zoom有關如何安裝和/或完全刪除Web服務器的說明:
計劃于今晚(七月九日)在太平洋時間上午十二時或之前進行的補丁將會執行以下操作:
1.更新Zoom客戶端后,完全刪除本地Web服務器 - 我們將停止在Mac設備上使用本地Web服務器 。部署修補程序后 , 將在縮放用戶界面(UI)中提示Mac用戶更新其客戶端 。更新完成后,將在該設備上完全刪除本地Web服務器 。
2.允許用戶手動卸載縮放 - 我們在縮放菜單欄中添加了一個新選項,允許用戶手動和完全卸載縮放客戶端,包括本地Web服務器 。部署修補程序后 , 將出現一個新的菜單選項,顯示“卸載縮放” 。單擊該按鈕,將從用戶設備中完全刪除縮放以及用戶保存的設置 。
在Leitschuh昨天發布的一篇媒體帖子中,首先詳細說明了漏洞,Zoom表示將在本月晚些時候推出一項更新 , 讓用戶可以保存視頻通話首選項,以便在加入新通話時網絡攝像頭可以保持關閉狀態 。這可以通過將您的偏好轉移到新的呼叫,包括可能被屏蔽的垃圾鏈接,旨在讓您點擊并意外激活您的網絡攝像頭 。
對于一些評論家而言,這還不夠,因為Zoom仍然有效地繞過Apple安全,因此它可以立即啟動Zoom調用而無需用戶確認 。Farley在該公司博客文章的原始版本中寫道,最初 , Zoom為網絡服務器辯護,認為這是“解決不良用戶體驗問題的合法解決方案,使我們的用戶能夠進行更快,一鍵加入的會議” 。
我的意思是,平臺所有者決定在沒有批準點擊的情況下 , 網址不應該打開其他應用程序 - 這是一個非常合理的安全措施 。你作為一家公司的反應可能不應該是,“讓我們通過無形安裝一個潛在安全漏洞的服務器來繞過這個問題 。”
- 杰森斯內爾(@jsnell) , 2019年7月9日
Leitschuh最初在3月份讓Zoom意識到了這個問題,他給了Zoom 90天的回應 。它最終決定不改變應用程序功能,“法利寫道 。所以Leitschuh在拒絕加入Zoom的bug賞金計劃之后上市,因為Zoom描述了對其不披露政策的不同意見 。
但根據Leitschuh,縮放CEO埃里克·袁今天早些時候作出了“關于全臉”,道歉的回應 , 并放大一拖再拖上解決漏洞,有線報告 。順便提一下,袁先生向Leitschuh和其他研究人員宣布了他們創建的一個測試Zoom頻道,以證明他們對漏洞嚴重性的看法 。
與@zoom_us首席執行官在“派對聊天”中的對話非常富有成效 。感覺就像他們之前對#vulnerability的立場一樣 ??吹揭晃皇紫瘓绦泄僭敢馀c一群陌生人打電話來承擔責任,這真是令人鼓舞 。
- Jonathan Leitschuh(@JLLeitschuh),2019年7月9日
Farley堅持認為,安全研究員Jonathan Leitschuh昨天披露的漏洞的相對安全風險并不像Leitschuh那樣嚴重 。他還認為 , Zoom在初次披露期間迅速采取行動,以解決其認為存在問題的安全問題,即DDoS的可能性 。
展望未來,注意力可能會從Zoom轉移到安裝Web服務器進程或其他隱藏的“幫助”軟件的其他軟件 。正如Farley在Zoom對該實踐的最初辯護中所說,“我們并不是唯一一家實施此解決方案的視頻會議提供商 。”正如其他人在Twitter上所指出的那樣,這種做法遠遠超出了視頻會議軟件 。
他們遠非孤身一人 , 快速`lsof -i |grep LISTEN`顯示我有:Spotify,Keybase,KBFS , iTunes , Numi,https:///MVSAJgN9yY......所有正在運行的本地監聽Web服務器 。
- Matthew Gregg(@braintube),2019年7月9日
我們詢問Farley他是否有任何關于整個行業的下一步可能在道德上和安全地在計算機上實施這些背景過程的想法 。“在公關危機中,這是一個難以回答的問題,”他說 。“我不確定我是否已準備好向同行提供建議,但也許我們可以稍后進行跟進 。”