MAC使用者小心被偷看!视讯独角兽ZOOM爆发零日漏洞

MAC使用者小心被偷看!视讯独角兽ZOOM爆发零日漏洞

美国资安研究者今天公布独角兽视讯会议服务「ZOOM」的大型漏洞,有多可怕?它可以让任何网站在未经许可的情况下,就可强行把使用者连接到 ZOOM 会议并开启其电脑上的附带镜头!

不只如此,较旧 MAC 版本的 ZOOM 甚至还会在使用者电脑内安装小型 Web 伺服器套件来接收普通浏览器不会接收的请求,不只可以在使用者不知情的状况下重新安装ZOOM,骇客甚至可以直接对你的 MAC 发动 DOS 攻击。

怎幺解决呢?目前大家可以先「手动」处理,首先先更新至最新版ZOOM,然后在设置的 Video 中勾选「加入会议时关掉相机」这个选项;但请注意,只删除 ZOOM 应用程式本身是无法解决问题的,因为该 Web 伺服器仍然存在于 MAC 内部,若要关闭 Web 伺服器则需要运行一些终端命令,详尽办法请点连结。

这位资安研究者 Jonathan Leitschuh 说他已在 3 月 26 日发现这个漏洞并回报给 ZOOM,但他表示 ZOOM 虽然很快就确认漏洞确实存在,但却无法即时解决问题,此外 Chrome 与 Mozilla 的开发者也都发现了该项漏洞,但由于这不是其浏览器的问题,所以这些人员也无能为力。如果你想看漏洞样本可以点连结上 GitHub 找。

此外根据 ZOOM 官方对外媒的回应,他们似乎是为了对应 Safari 12 才使用了本地伺服器方案来提升使用者体验,至今解决方法就是更新至新版,并开放使用者在首次加入通话时,让他们自己选择是否开启镜头,但并不想改变在使用者电脑内安装小型 Web 伺服器的架构。

上一篇: 下一篇: