• Home
  • Química
  • Astronomia
  • Energia
  • Natureza
  • Biologia
  • Física
  • Eletrônicos
    •  science >> Ciência >  >> Eletrônicos
    Zoom aumenta na correção de vulnerabilidade de conferência

    Sente-se em uma cadeira confortável; quebras com panos frios são permitidos. Esta é uma daquelas histórias de dia zero com descobertas, respostas, descobertas ainda mais recentes e atualizações variadas.

    Um alarme de falha de segurança na segunda-feira, 8 de julho, foi soado sobre conferência. "Este é essencialmente um dia zero, "disse o engenheiro de software que o identificou. A CNET disse que a falha de segurança era grave; estava em um aplicativo de videoconferência que poderia permitir que sites se juntassem a você em chamadas de vídeo sem sua permissão.

    Daniel Van Boom da CNET, da Austrália, relatou que o pesquisador de segurança que descobriu tudo isso foi Jonathan Leitschuh, um engenheiro de software, que se virou para um post em Médio para explicar o que ele encontrou.

    Isso envolveu o aplicativo para Mac da Zoom. Ele tem um recurso de clique para ingressar, disse CNET, "onde clicar em um link do navegador leva você diretamente para uma videochamada no aplicativo do Zoom."

    Que simples:"Participar de uma chamada é particularmente fácil; com o clique de um URL de reunião, a página inicia automaticamente o aplicativo de desktop, e você está dentro, "disse Lily Hay Newman em Com fio .

    Aqui está o problema. Esta vulnerabilidade "teria permitido que qualquer página da web para DOS (negação de serviço) um Mac, juntando repetidamente um usuário a uma chamada inválida."

    Simples de consertar sozinho, direito? Basta desinstalar o Zoom. Isso não foi tão simples.

    "Se você já instalou o cliente Zoom e depois o desinstalou, você ainda tem um servidor da web localhost em sua máquina que terá o prazer de reinstalar o cliente Zoom para você, "Leitschuh disse, "sem exigir nenhuma interação do usuário em seu nome, além de visitar uma página da web."

    A partir de 9 de julho, e antes da grande correção, vários críticos comentaram que não se sentiam confortáveis ​​com o uso de um servidor Web local por parte da Zoom em computadores Mac. Com fio :"O Zoom configura um servidor web local em cada Mac de usuário que permite que URLs de chamadas iniciem automaticamente o aplicativo de desktop. Zoom diz que esta configuração está em vigor como uma 'solução alternativa' para um recurso do Safari 12 que exigiria que os usuários aprovassem o Zoom lançando toda vez que clicam em um link de chamada. "

    E, além de Zoom e Leitschuh, Com fio trouxe observações de Thomas Reed, um especialista em pesquisa de Mac na empresa de segurança Malwarebytes. "O servidor da web local é honestamente a parte mais preocupante, e não é consertado, "disse Reed." O servidor da web é preocupante, devido à possibilidade de alguém encontrar uma maneira de usá-lo remotamente para acionar a execução remota de código. "

    CNET a partir de segunda-feira, 8 de julho, reportou que, "Em relação a um potencial ataque de negação de serviço, A Zoom diz que não há registro de exploração de tal fraqueza, e diz que corrigiu essa falha de segurança em maio. "

    (O Zoom corrigiu esse problema de DoS em uma atualização de maio. O blog do Zoom declarou que lançou uma correção para isso em maio de 2019, "embora não tenhamos forçado nossos usuários a atualizar porque é empiricamente uma vulnerabilidade de baixo risco.")

    Quais foram as respostas de Zoom mais tarde, 9 de julho? Quando chove transborda.

    No final da tarde, 9 de julho, The Verge intitulado "Zoom corrige grande falha de segurança da webcam do Mac com patch de emergência" e "A empresa agora está removendo servidores da web Mac locais".

    Com fio publicou outro artigo de atualização em 9 de julho no final do dia, dizendo "DEPOIS DE DIZER INICIALMENTE que não haveria uma correção completa para uma vulnerabilidade divulgada na segunda-feira, o serviço de videoconferência Zoom mudou de rumo. A empresa agora diz ao WIRED que fará um patch na terça-feira para alterar a funcionalidade do Zoom e eliminar o bug. Você deve atualizar o Zoom agora. "

    Para o blog do Zoom, onde as atualizações de 9 de julho tinham o seguinte:

    "[ATUALIZAR 14h35 PT, Terça-feira, 7/9] O patch de 9 de julho para o aplicativo Zoom em dispositivos Mac detalhado abaixo já está no ar. Você pode ver um pop-up em Zoom para atualizar seu cliente, baixe-o em zoom.us/download, ou verifique se há atualizações abrindo a janela do aplicativo Zoom, clicando em zoom.us no canto superior esquerdo da tela, e, em seguida, clicando em Verificar atualizações. "

    Zoom finalmente ouvido, e respondeu, para o "clamor".

    "[ATUALIZADO 13h15 PT, Terça-feira, 9 de julho] Agradecemos o trabalho árduo do pesquisador de segurança em identificar questões de segurança em nossa plataforma. Inicialmente, não vimos o servidor web ou a postura de vídeo como riscos significativos para nossos clientes e, na verdade, considerou que estes eram essenciais para o nosso processo de adesão perfeito. Mas ao ouvir o clamor de nossos usuários nas últimas 24 horas, decidimos fazer as atualizações em nosso serviço. "

    No momento em que este artigo foi escrito) esta era a atualização em Médio de Leitschuh:"ATUALIZAÇÃO - 9 de julho (pm). De acordo com a Zoom, eles terão uma solução enviada à meia-noite hoje à noite, horário do Pacífico, removendo o servidor web oculto; esperançosamente, isso corrige as partes mais evidentes desta vulnerabilidade. O CEO da Zoom também nos garantiu que atualizará seu aplicativo para proteger ainda mais a privacidade dos usuários. "

    © 2019 Science X Network




    Eletrônicos
    Ciência
    Ciência
  • Química
  • Astronomia
  • Energia
  • Natureza
  • Biologia
  • Física
  • Eletrônicos
  • Geologia
  • Eclipse solar
  • Matemática
  • Outros
  • Nanotecnologia
    • Eletrônicos
    Ciência
    © Ciência https://pt.scienceaq.com