我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:彩63彩票注册 > 多端口存储器 >

Zoom紧急修正Mac客户端漏洞拿掉本地主机网页服务器

归档日期:07-22       文本归类:多端口存储器      文章编辑:爱尚语录

  视讯会议软件Zoom遭爆料,其Mac客户端存在零时差漏洞,且处理漏洞态度消极。该讯息揭露迫使Zoom官方在博客紧急做出回应,表示新版本将会删除有安全疑虑的本地主机(Localhost)网页服务器,并且让用户在解除安装程序时,能够移除本地主机网页服务器,另外,安全人员也质疑Zoom私密漏洞奖励计画,官方也承诺将会推出公开漏洞奖励

  资安研究员Jonathan Leitschuh在博客,揭露Zoom的Mac客户端应用程式漏洞,引来社群对Zoom激烈的抗议。Jonathan Leitschuh提到,Zoom的使用者在Mac上可能遭受DoS以及资讯泄露攻击,而且Zoom透过在用户电脑安装无法移除的本地主机网页服务器,让任何网页都可以跟Zoom应用程式构通,这是非常危险的作法。Jonathan Leitschuh在3月的时候向Zoom回报这两个漏洞,但Zoom只在Mac版本的Zoom客户端4.4.2修复DoS漏洞,而未经用户同意,网页就能启动摄影机的资讯泄露漏洞则未修补。

  网络上大批的抗议声浪,让Zoom不得不进一步回应用户的意见。现在Mac装置上的Zoom客户端会收到更新讯息,通知用户更新最新版本的应用程式,在用户完成更新后,系统将移除系统上的本地主机网页服务器,而且还在Zoom解除安装程序中,加入完全移除本地主机网页服务器的选项,还会连带一并删除使用者储存的设定。

  另外,Zoom预计还会在7月时发布一次更新,修正Zoom预设启用摄影机的选项,用户未来安装该更新版本,在第一次选择始终关闭摄影机的选项后,系统便会自动保存为视讯偏好选项,而用户也可以随时在视讯设定中,预设关闭摄影机。Zoom提到,研究人员Jonathan Leitschuh认为用户有机会点击攻击者提供的恶意网页连结,在未知的情况启动摄影机,而他们目前还未观察到任何相关案例发生,不过为了安全起见,在7月将发布的更新还是会做出修正。

  Zoom也说明了之所以会在Mac中安装本地主机网页服务器的原因,是为了要减少用户启动Zoom会议的手续,因为Safari 12的安全性变更,使得用户在加入Zoom会议的时候,需要多一道确认手续,才能启动Zoom客户端,而本地主机网页服务器是用来减少用户这类额外的点击动作,提高使用者体验,Zoom提到,Mac装置上的本地主机网页服务器功能有限,也只能回应本地计算机的请求,而且他们并非是唯一采用这种启动视讯会议方式的供应商。

  而回应Jonathan Leitschuh抨击Zoom在解决漏洞时的消极态度,Zoom官方提到,之所以没有积极修补,是因为经过他们与其他研究人员评估,认为预设启用摄影机是个低风险的漏洞,才会决定不更改设定。而Zoom在5月时修补的DoS漏洞,虽然他们发出了更新应用程式,但是并未强制用户安装,也是因为他们同样认为,这是一个低风险的漏洞,至今尚未有用户因无限的加入会议请求,而导致系统遭到锁定。

本文链接:http://art-olivier.com/duoduankoucunchuqi/938.html