Apple发出更新,主动移除Mac中的Zoom本地主机网页服务器

发布于2019-07-12 04:50:24

导读: 热门视讯会议软件Zoom客户端被爆,在Mac中安装易受攻击的本地主机(Localhost)网页服务器,虽然昨天Zoom官方已经紧急发布更新,但考量不少用

热门视讯会议软件Zoom客户端被爆,在Mac中安装易受攻击的本地主机(Localhost)网页服务器,虽然昨天Zoom官方已经紧急发布更新,但考量不少用户未收到漏洞讯息,以及不愿安装新版的情况,Apple决定直接出手发布Mac更新,用更积极的手段,移除这个允许恶意网站在未经用户同意的情况,就将用户加入视讯通话的元件。

资安研究人员Jonathan Leitschuh揭露,Zoom在Mac的客户端软件存在严重的漏洞,除了用户可能遭受DoS攻击之外,摄影机还可能在用户不知情的状况被启动,Jonathan Leitschuh也实作了概念性验证,证明有心人士确实可以利用Zoom的漏洞进行攻击。

而之所以恶意网站可以未经用户同意,就将用户加入Zoom会议并启动摄影机,是因为Zoom客户端在电脑中安装了一个本地主机网页服务器,Zoom对此的说明,是由于Safari 12的安全性变更,在开始每次Zoom会议时,都会要求用户进行确认动作,因此Zoom透过本地主机网页服务器的方式,减少用户启动Zoom会议的程序,Zoom也提到,不是只有Zoom客户端用这种方式启动会议,而Jonathan Leitschuh表示,从安全性的角度来看,这是一种危险的做法。

尽管Zoom认为Jonathan Leitschuh发现的两个漏洞危险性很低,目前也没有任何使用者遭受相关的攻击,但是做为回应网络社群的抗议声浪,Zoom官方在昨日也释出了更新,新版本安装完成后将会移除用户电脑中的本地主机网页服务器,在解除安装程序中,也会有选项让用户完整移除本地主机网页服务器以及储存的设定档。

而今天Zoom在官网提到他们与Apple合作,Apple对Mac发布了一项更新,以确保将Zoom的本地主机网页服务器从所有Mac中删除,也就是说,Mac用户即便没有安装Zoom释出最新的客户端应用程序,Mac中的本地主机网页服务器也会被移除,而这项Mac更新不需要用户参与任何互动。

另外,Zoom在昨天公告,将在7月稍晚释出另一个更新版本,改进Zoom客户端预设开启摄影机的问题,Zoom今天公开了时程表,该更新将会在周末7月13日释出,用户在应用程序首次提问时,如果选择总是关闭摄影机,则该设定将会被储存为偏好设定,在预设情况于所有视讯会议中关闭摄影机。

相关文章