文/李建興 | 2019-07-11發表
熱門視訊會議軟體Zoom客戶端被爆,在Mac中安裝易受攻擊的本地主機(Localhost)網頁伺服器,雖然昨天Zoom官方已經緊急發布更新,但考量不少用戶未收到漏洞訊息,以及不願安裝新版的情況,Apple決定直接出手發布Mac更新,用更積極的手段,移除這個允許惡意網站在未經用戶同意的情況,就將用戶加入視訊通話的元件。
資安研究人員Jonathan Leitschuh揭露,Zoom在Mac的客戶端軟體存在嚴重的漏洞,除了用戶可能遭受DoS攻擊之外,攝影機還可能在用戶不知情的狀況被啟動,Jonathan Leitschuh也實作了概念性驗證,證明有心人士確實可以利用Zoom的漏洞進行攻擊。
而之所以惡意網站可以未經用戶同意,就將用戶加入Zoom會議並啟動攝影機,是因為Zoom客戶端在電腦中安裝了一個本地主機網頁伺服器,Zoom對此的說明,是由於Safari 12的安全性變更,在開始每次Zoom會議時,都會要求用戶進行確認動作,因此Zoom透過本地主機網頁伺服器的方式,減少用戶啟動Zoom會議的程序,Zoom也提到,不是只有Zoom客戶端用這種方式啟動會議,而Jonathan Leitschuh表示,從安全性的角度來看,這是一種危險的做法。
儘管Zoom認為Jonathan Leitschuh發現的兩個漏洞危險性很低,目前也沒有任何使用者遭受相關的攻擊,但是做為回應網路社群的抗議聲浪,Zoom官方在昨日也釋出了更新,新版本安裝完成後將會移除用戶電腦中的本地主機網頁伺服器,在解除安裝程序中,也會有選項讓用戶完整移除本地主機網頁伺服器以及儲存的設定檔。
而今天Zoom在官網提到他們與Apple合作,Apple對Mac發布了一項更新,以確保將Zoom的本地主機網頁伺服器從所有Mac中刪除,也就是說,Mac用戶即便沒有安裝Zoom釋出最新的客戶端應用程式,Mac中的本地主機網頁伺服器也會被移除,而這項Mac更新不需要用戶參與任何互動。
另外,Zoom在昨天公告,將在7月稍晚釋出另一個更新版本,改進Zoom客戶端預設開啟攝影機的問題,Zoom今天公開了時程表,該更新將會在周末7月13日釋出,用戶在應用程式首次提問時,如果選擇總是關閉攝影機,則該設定將會被儲存為偏好設定,在預設情況於所有視訊會議中關閉攝影機。
線