Support us

Уязвимость в платформе видеоконференций Zoom поставила под угрозу более 4 млн пользователей Мас (обновлено)

Оставить комментарий
Уязвимость в платформе видеоконференций Zoom поставила под угрозу более 4 млн пользователей Мас (обновлено)

Исследователь безопасности Джонатан Лейтшух обнародовал информацию о серьёзной уязвимости в популярном приложении для веб-конференций Zoom, которая позволяет любому сайту получить доступ к камере и открыть видеовызов без разрешения пользователя Mac, сообщают ZDNet и Securitylab.

Проблема связана с функцией, с помощью которой можно автоматически присоединиться к видеоконференции в Zoom, нажав на ссылку-приглашение в браузере. Для этого приложение устанавливает на систему веб-сервер, который получает команды через запросы HTTPS GET, при этом с ним может взаимодействовать любой сайт, открытый в браузере. Для компрометации злоумышленнику нужно лишь создать приглашение в своей учётной записи на официальном сайте Zoom, встроить её в сторонний ресурс и убедить пользователя Мас посетить его. Приложение принудительно запустится на компьютере и активирует веб-камеру, подвергая пользователя риску атак.

Опасность сохраняется даже после деинсталляции Zoom — локальный веб-сервер автоматически переустановит приложение без участия или разрешения пользователя. Помимо активации камеры, баг можно использовать для вывода Мас из строя, просто отправив большое количество повторяющихся GET-запросов на локальный сервер.

Разработчики Zoom частично исправили уязвимость, отключив возможность активации камеры. Но проблема, позволявшая атакующему принудительно подключить к конференции посетивших вредоносный сайт по-прежнему актуальна.

Уязвимость касается последней версии Zoom (4.4.4) для macOS и затрагивает более 4 млн пользователей компьютеров Apple. Чтобы обезопасить себя, им рекомендуют отключить автоматическую активацию камеры при подключении к видеоконференции в настройках Zoom.

Обновление: Apple выпустила патч, который удаляет скрытый веб-сервер Zoom, остававшийся на системе после деинсталяции приложения. Исправление устанавливается автоматически и не требует взаимодействия с пользователем.

16 лет dev.by — «дефолтный» источник информации о беларусском ИТ

Вы можете...

Читайте также
Как очистить Mac? Подборка платных приложений для macOS (cо скидками Black Friday 2024)
Как очистить Mac? Подборка платных приложений для macOS (cо скидками Black Friday 2024)
Как очистить Mac? Подборка платных приложений для macOS (cо скидками Black Friday 2024)
Чем просканировать накопившийся за время работы мусор на диске вашего в Мака и навести порядок? Рассказываем о 7 платных приложениях для очистки macOS. Мы не называем их лучшими — просто советуем обратить на них внимание.
9 комментариев
Signal назначил президентом организаторшу протестов в Google
Signal назначил президентом организаторшу протестов в Google
Signal назначил президентом организаторшу протестов в Google
3 комментария
В США разработали мессенджер для общения под водой
В США разработали мессенджер для общения под водой
В США разработали мессенджер для общения под водой
Google запустила SDK для создания приложений, которые будут работать на разных устройствах и ОС
Google запустила SDK для создания приложений, которые будут работать на разных устройствах и ОС
Google запустила SDK для создания приложений, которые будут работать на разных устройствах и ОС

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.