Apple推出了一款无声的Mac更新,可以删除Zoom的本地Web服务器


https://www.ispeech.org

Macbook Pro的sotck照片
Craig Adderley / Pexels

一位安全研究人员最近发现,对于那些在Mac上使用该应用程序的人来说,Zoom应用程序有一个非常令人不安的安全漏洞。 根据安全研究员Jonathan Leitschuh于7月8日星期一发布的Medium文章 ,Mac版本的Zoom应用程序存在一个漏洞,可让网站在未经您许可的情况下启动视频通话(并打开您的网络摄像头)。

但截至7月10日星期三,Apple决定通过自己的解决方案解决Zoom的安全问题:一项无声的Mac更新,删除了Mac版热门视频会议应用程序附带的有问题的localhost网络服务器, TechCrunch报道

缩放是众所周知的,并且由于其易于使用而被无数公司使用。 (用户只需使用共享链接和点击即可加入视频通话。)但事实证明,这个特别易于使用的功能是漏洞的来源。根据Leitschuh的帖子,Mac的Zoom客户端的安装不仅仅是视频通话应用程序本身;它还附带了一个也安装的localhost Web服务器。此本地服务器允许Mac用户一键访问缩放视频通话。但正如Leitschuh指出的那样,本地服务器功能“确实没有得到安全实施”。

实际上,服务器非常脆弱,允许其他可能存在恶意的网站访问Mac网络摄像头,“强行加入用户进行缩放调用”,并在未经许可的情况下打开他们的网络摄像头 。此外,服务器的安全漏洞(对于较旧版本的Zoom)也会让网站通过反复将用户加入无效呼叫来完成对Mac的DoS(拒绝服务)攻击。“Leitschuh还指出DoS安全漏洞在Zoom客户端的4.4.2版本中进行了修补。

用户不仅可以卸载缩放来解决问题。 Leitschuh的报告还提到,即使在卸载Zoom后,本地Web服务器也会停留在Mac上。此外,该服务器仍可以在未经您许可的情况下重新安装Zoom。至少根据Leitschuh的事件版本,看起来Zoom虽然意识到这个缺陷,却没有完全解决当时的安全问题。

据连线报道, Zoom最初表示不会解决这个问题,但最终表示会在星期二发布补丁,以消除这个漏洞。

尽管Zoom最近发布了补丁,Apple现在已经为Zoom的网络摄像头安全问题提供了自己的解决方案。根据TechCrunch的说法,(自动)静音Mac更新预计会删除随Zoom的视频会议应用程序安装的本地服务器。静音更新还将包含一项功能,询问Mac用户是否要打开缩放应用程序,而不是仅自动打开应用程序。

Apple对创建此静默Mac更新背后的原因有所了解,并告诉TechCrunch该更新旨在帮助保护Mac应用程序漏洞的过去和现在用户,同时保留应用程序的功能。

更新于2019年7月11日:Apple发布了Mac更新,删除了Zoom的本地Web服务器。

Previous Entries AMD Radeon RX 5700 XT与RX 5700相比 Next Entries 隐私的最佳浏览器

發表評論