devby 17 лет! Вспоминаем переходный возраст и делимся виш-листом
Support us

Уязвимость в платформе видеоконференций Zoom поставила под угрозу более 4 млн пользователей Мас (обновлено)

Оставить комментарий
Уязвимость в платформе видеоконференций Zoom поставила под угрозу более 4 млн пользователей Мас (обновлено)

Исследователь безопасности Джонатан Лейтшух обнародовал информацию о серьёзной уязвимости в популярном приложении для веб-конференций Zoom, которая позволяет любому сайту получить доступ к камере и открыть видеовызов без разрешения пользователя Mac, сообщают ZDNet и Securitylab.

Проблема связана с функцией, с помощью которой можно автоматически присоединиться к видеоконференции в Zoom, нажав на ссылку-приглашение в браузере. Для этого приложение устанавливает на систему веб-сервер, который получает команды через запросы HTTPS GET, при этом с ним может взаимодействовать любой сайт, открытый в браузере. Для компрометации злоумышленнику нужно лишь создать приглашение в своей учётной записи на официальном сайте Zoom, встроить её в сторонний ресурс и убедить пользователя Мас посетить его. Приложение принудительно запустится на компьютере и активирует веб-камеру, подвергая пользователя риску атак.

Опасность сохраняется даже после деинсталляции Zoom — локальный веб-сервер автоматически переустановит приложение без участия или разрешения пользователя. Помимо активации камеры, баг можно использовать для вывода Мас из строя, просто отправив большое количество повторяющихся GET-запросов на локальный сервер.

Разработчики Zoom частично исправили уязвимость, отключив возможность активации камеры. Но проблема, позволявшая атакующему принудительно подключить к конференции посетивших вредоносный сайт по-прежнему актуальна.

Уязвимость касается последней версии Zoom (4.4.4) для macOS и затрагивает более 4 млн пользователей компьютеров Apple. Чтобы обезопасить себя, им рекомендуют отключить автоматическую активацию камеры при подключении к видеоконференции в настройках Zoom.

Обновление: Apple выпустила патч, который удаляет скрытый веб-сервер Zoom, остававшийся на системе после деинсталяции приложения. Исправление устанавливается автоматически и не требует взаимодействия с пользователем.

Читайте также
«Оплати» не будет брать рубль за оплату проезда, разработчиков предостерегли
«Оплати» не будет брать рубль за оплату проезда, разработчиков предостерегли
«Оплати» не будет брать рубль за оплату проезда, разработчиков предостерегли
В Малайзии запустили первый в мире банк на базе ИИ
В Малайзии запустили первый в мире банк на базе ИИ
В Малайзии запустили первый в мире банк на базе ИИ
Google запретит приложения от непроверенных Android-разработчиков
Google запретит приложения от непроверенных Android-разработчиков
Google запретит приложения от непроверенных Android-разработчиков
ИИ-агенты заменяют багхантеров: ручной поиск багов уходит в прошлое
ИИ-агенты заменяют багхантеров: ручной поиск багов уходит в прошлое
ИИ-агенты заменяют багхантеров: ручной поиск багов уходит в прошлое
3 комментария

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.