ShortLink

Hôm nay, nhà nghiên cứu bảo mật Jonathan Leitschuh đã công khai tiết lộ lỗ hổng zero-day nghiêm trọng cho ứng dụng video hội nghị Zoom trên máy Mac.

Ông đã chứng minh rằng bất kỳ trang web nào cũng có thể mở một cuộc gọi kích hoạt video trên máy Mac với ứng dụng Zoom được cài đặt. Điều đó có thể xảy ra một phần vì ứng dụng Zoom dường như cài đặt một máy chủ web trên máy Mac  và nó chấp nhận các yêu cầu thông thường từ trình duyệt. Trên thực tế, nếu bạn gỡ cài đặt Zoom, máy chủ web đó vẫn tồn tại và có thể cài đặt lại Zoom mà không cần sự can thiệp của bạn.

Zoom

Sử dụng bản demo Leitschuh, Theverge xác nhận rằng lỗ hổng này đang tồn tại - nhấp vào một liên kết nếu trước đó bạn đã cài đặt ứng dụng Zoom thì nó sẽ tự động tham gia cuộc gọi hội nghị với máy ảnh của bạn.

Leitschuh cho biết anh đã thông báo lỗ hổng này cho Zoom vào cuối tháng 3 và cho công ty 90 ngày để giải quyết vấn đề. Theo tài khoản Leitschuh, Zoom có ​​vẻ như đã làm đủ cách để giải quyết vấn đề. Lỗ hổng này cũng đã được tiết lộ cho cả hai nhóm Chromium và Mozilla, nhưng vì nó không phải là vấn đề với trình duyệt của họ nên 2 công ty này không thể can thiệp để giải quyết.

Bật camera mà không thông báo cho bạn đã đủ tệ nhưng sự tồn tại của máy chủ web trên máy tính của họ có thể mở ra nhiều vấn đề quan trọng hơn cho người dùng Mac. Ví dụ: trong phiên bản cũ hơn của Zoom (đã được vá), có thể thực hiện một cuộc tấn công từ chối dịch vụ trên máy Mac bằng cách liên tục ping máy chủ web.

Bạn có thể tự khắc phục sự cố máy ảnh bằng cách đảm bảo ứng dụng Mac được cập nhật và cũng vô hiệu hóa cài đặt cho phép Zoom bật máy ảnh của bạn khi tham gia cuộc họp. Một lần nữa, chỉ cần gỡ cài đặt Zoom won, khắc phục sự cố này, vì máy chủ web đó vẫn tồn tại trên máy Mac của bạn. Việc tắt máy chủ web yêu cầu chạy một số lệnh đầu cuối và bạn có thể tìm hiểu thêm tại đây.

zoom

Trong một tuyên bố với The Verge và các tờ báo khác, Zoom nói rằng họ đã phát triển máy chủ web cục bộ để tiết kiệm cho người dùng một số lần nhấp, sau khi Apple thay đổi trình duyệt web Safari theo cách yêu cầu người dùng Zoom khởi động lại ứng dụng nếu muốn dùng trong lần tiếp theo.

Công ty cho biết họ sẽ điều chỉnh ứng dụng theo một cách nhỏ: bắt đầu từ tháng 7, Zoom sẽ họ sẽ bổ sung cho người dùng tùy chọn cho phép lựa chọn có bật video hay không khi họ lần đầu tham gia cuộc gọi. Nhìn chung, có vẻ như Zoom không có kế hoạch thay đổi mạnh mẽ cách ứng dụng của họ hoạt động trên máy Mac, thay vào đó họ lại muốn người dùng chủ động tắt camera ở chế độ mặc định.






Các tin khác