Уязвимость Zoom Webcam Zero-Day Позволяет Хакерам Контролировать 4 Миллиона Веб-Камер Без Разрешения Пользователей | DedicateT.com

Регистрация
18.12.2017
Сообщения
597
Симпатии
334
Баллы
180
#1
1562869093929.png

Критическая уязвимость нулевого дня, которая повлияла на Mac Zoom web client, позволяет злоумышленникам контролировать почти 4 миллиона веб-камер через вредоносный веб-сайт и включать камеру без разрешения.


Zoom предоставляет услуги удаленной конференц-связи, такие как видеоконференции, онлайн-встречи, чат и мобильное сотрудничество, и он используется 750 000 компаний для своего бизнеса по всему миру.

Уязвимость заключается в масштабировании, без разрешения пользователя злоумышленники подключаются к вызову масштабирования с включенной видеокамерой.

Помимо недостатка, если вы когда-либо устанавливали клиент Zoom на свой Mac, вы его удалили, но вы уязвимы, так как веб-сервер localhost на вашем Mac поможет злоумышленнику автоматически переустановить клиент Zoom снова без какого-либо взаимодействия с пользователем.

Эта уязвимость также позволит злоумышленнику выполнить DOS (отказ в обслуживании) Mac с помощью любой веб-страницы, постоянно инициируя недопустимый вызов во время собрания.

Уязвимость использование веб-функции масштабирования

Злоумышленник может вызвать эту уязвимость, используя простую функцию масштабирования, просто отправив ссылку на собрание целевым жертвам, как только жертва откроет ссылку в своем браузере, клиент масштабирования будет открыт на локальном компьютере.

По словам исследователя безопасности
У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться
, эта уязвимость была первоначально ответственно раскрыта 26 марта 2019 года. Этот первоначальный отчет включал предлагаемое описание масштабирования "быстрого исправления", которое можно было бы реализовать, просто изменив логику сервера.


Чтобы устранить эту уязвимость, исследователь посоветовал удалить решение localhost web server.

"Он также предложил альтернативное решение, зарегистрировав пользовательские обработчики URI (например, обработчик zoom://URI) в браузерах, является более безопасным решением. Когда эти обработчики URI запускаются, браузер явно запрашивает у пользователя подтверждение об открытии приложения.”

Zoom выпустил патч

Leitschuh он ответственно раскрыл уязвимость увеличить в марте, а также давая компании 90 дней, чтобы решить эту проблему. Согласно
У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться
записи Leitschuh , Zoom, похоже, недостаточно сделал для решения проблемы.

Теперь Zoom Исправлена проблема путем удаления локального веб-сервера полностью, как только клиент Zoom был обновлен, что означает использование локального веб-сервера на устройствах Mac был остановлен и обновление было перенесено на всех пользователей Mac.

Команда Zoom также добавила новую опцию в строку меню Zoom, которая позволит пользователям вручную и полностью удалить клиент Zoom, включая локальный веб-сервер.

Теперь пользователи Mac получают новое меню, в котором предлагается “удалить Zoom”, как только пользователь нажимает на него, старая версия Zoom будет полностью удалена.

Вы можете увидеть всплывающее окно масштабирования для обновления вашего клиента или скачать недавно исправленная версия при
У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться
.
 
Похожие темы:
Ответы
0
Просмотры
52

Пользователи, которые просматривали тему (Всего: 6)