Kerentanan zero-day yang serius di Perbesar Aplikasi konferensi video untuk Mac diungkapkan kepada publik hari ini oleh peneliti keamanan Jonathan Leitschuh.
Di sebuah Postingan sedang , Leitschuh menunjukkan bahwa hanya dengan mengunjungi halaman web memungkinkan situs untuk secara paksa memulai panggilan video di Mac dengan aplikasi Zoom terpasang.
Cacat dikatakan sebagian karena server web yang diinstal aplikasi Zoom di Mac yang 'menerima permintaan yang tidak akan diterima oleh browser biasa,' seperti yang dicatat oleh The Verge , yang secara independen mengkonfirmasi kerentanan.
Selain itu, Leitschuh mengatakan bahwa dalam versi Zoom yang lebih lama (sejak ditambal) kerentanan memungkinkan halaman web apa pun ke DOS (Denial of Service) Mac dengan berulang kali bergabung dengan pengguna ke panggilan yang tidak valid. Menurut Leitschuh, ini mungkin masih menjadi bahaya karena Zoom tidak memiliki 'kemampuan pembaruan otomatis yang memadai', sehingga kemungkinan ada pengguna yang masih menjalankan versi aplikasi yang lebih lama.
Leitschuh mengatakan dia mengungkapkan masalahnya ke Zoom pada akhir Maret, memberi perusahaan 90 hari untuk memperbaiki masalah, tetapi peneliti keamanan melaporkan bahwa kerentanan masih ada di aplikasi.
Sementara kami menunggu pengembang Zoom melakukan sesuatu tentang kerentanan, pengguna dapat mengambil langkah-langkah untuk mencegah kerentanan itu sendiri dengan menonaktifkan pengaturan yang memungkinkan Zoom menyalakan kamera Mac Anda saat bergabung dalam rapat.
Perhatikan bahwa menghapus instalan aplikasi tidak akan membantu, karena Zoom menginstal server web localhost sebagai proses latar belakang yang dapat menginstal ulang klien Zoom di Mac tanpa memerlukan interaksi pengguna apa pun selain mengunjungi halaman web.
Semoga bermanfaat, bagian bawah Leitschuh's Postingan sedang menyertakan serangkaian perintah Terminal yang akan menghapus instalan server web sepenuhnya.
Memperbarui: Dalam sebuah pernyataan yang diberikan kepada ZDNet , Zoom membela penggunaan server web lokal di Mac sebagai 'solusi' untuk perubahan yang diperkenalkan di Safari 12. Perusahaan mengatakan bahwa menjalankan server lokal di latar belakang adalah 'solusi sah untuk pengalaman pengguna yang buruk, memungkinkan pengguna kami mengadakan rapat dengan satu klik untuk bergabung yang lancar, yang merupakan pembeda produk utama kami.'
Pembaruan 2: Zoom tidak lagi mengambil sikap defensif dan telah sekarang merilis tambalan .
Tags: keamanan , Zoom
Pesan Populer