今天,安全研究員Jonathan Leitschuh 公開(kāi)披露了Mac 電腦上的Zoom 視頻會(huì)議應(yīng)用程序中存在嚴(yán)重的零日漏洞����。他已經(jīng)證明��,任何網(wǎng)站都可以在安裝了Zoom 應(yīng)用程序的Mac 電腦上打開(kāi)視頻通話���。
當(dāng)您在Mac 上安裝Zoom 應(yīng)用程序時(shí),它還會(huì)安裝一個(gè)Web 服務(wù)器����,該服務(wù)器接受常規(guī)瀏覽器不會(huì)接受的請(qǐng)求。
因此����,任何網(wǎng)站都可以在未經(jīng)用戶許可的情況下強(qiáng)行加入用戶的視頻通話并激活他們的攝像頭。即使Zoom 被卸載�,Web 服務(wù)器也將持續(xù)存在,并且無(wú)需用戶干預(yù)即可重新安裝Zoom����。
此外����,如果您曾經(jīng)安裝過(guò)Zoom 客戶端,然后又卸載了它�,您的設(shè)備上仍然有一個(gè)本地主機(jī)Web 服務(wù)器��,它會(huì)很樂(lè)意為您重新安裝Zoom 客戶端���,而無(wú)需您進(jìn)行任何用戶交互。只需訪問(wèn)一個(gè)網(wǎng)頁(yè)即可���。此重新安裝功能至今仍然有效��。
Twitter 上的其他用戶也報(bào)告了該漏洞�。
Leitschuh 在三月份首次披露了該漏洞�����。不過(guò)����,到目前為止,Zoom 還沒(méi)有解決這個(gè)問(wèn)題���。 Chrome 和Mozilla 團(tuán)隊(duì)也發(fā)現(xiàn)了該漏洞��,但由于這不是他們的瀏覽器的問(wèn)題�����,因此這些開(kāi)發(fā)人員無(wú)能為力�����。
此外��,Leitschuh 表示�����,Zoom 缺乏足夠的自動(dòng)更新功能�,這意味著仍然有用戶運(yùn)行該應(yīng)用程序的舊版本。
那么用戶應(yīng)該如何保護(hù)自己呢�����?最簡(jiǎn)單的方法是進(jìn)入Zoom 的設(shè)置窗口并啟用“參加會(huì)議時(shí)關(guān)閉視頻”設(shè)置���。您還可以運(yùn)行一系列終端命令來(lái)完全卸載Web 服務(wù)器����。
