Cercetătorul în securitate Jonathan Leitschuh a făcut publică o vulnerabilitate de tipul zero-day serioasă a aplicației Zoom pentru conferințe video pe Mac. El a demonstrat cum orice website poate deschide un apel video pe un computer mac care are instalată aplicația Zoom. Asta este posibil, în parte, deoarece aplicația Zoom instalează aparent un server web pe computerele Mac. Acest server web acceptă cereri pe care browserele obișnuite nu le-ar accepta. De fapt, dacă aplicația Zoom este dezinstalată, serverul web rămâne și ar putea reinstala Zoom fără intervenția utilizatorului, scrie theverge.com.
The Verge s-a folosit de demonstrația lui Leitschuh pentru a confirma că vulnerabilitatea funcționează. Leitschuh spune că le-a spus, în luna martie, celor de la Zoom despre vulnerabilitate, dând companiei 90 de zile să remedieze problema. conform spuselor lui Leitschuh, Zoom nu pare să fi făcut suficiente demersuri pentru a remedia problema. Echipele Chromium și Mozilla au aflat și ele despre vulnerabilitate, dar deoarece nu este o problemă cu browserele lor, nu au putut face mare lucru.
Zoom spune că nu prea are ce să schimbe la modul de funcționare pentru că punctul lor forte este în pornirea unei conversații video cu un singur click. Iar dacă ar elimina web serverul nu ar mai putea face asta, precizează playtech.ro.
Dacă pornirea camerei nu era îndeajuns de rău, existența serverului web face ca Mac-urile să fie vulnerabile și la alte tipuri de atacuri. De exemplu, într-o versiune mai veche a Zoom era posibilă realizarea unui atac de tip denial of service, prin accesarea constantă a web serverului.
Poți să rezolvi chiar tu problema astfel: să te asiguri că sistemul de operare este actualizat și să debifezi opțiunea care-i permite aplicației să activeze automat camera foto atunci când intri într-o conversație video.
Zoom spune că folosește un server web pe computerele cu Mac ca „soluție” la schimbările apărute în Safari 12, scrie zdnet.com.
„Permiteți-mi să încep prin a spune că a avea o aplicație instalată care rulează un server web local pe laptopul meu, cu un API complet nedocumentat se simte incredibil de dubios pentru mine”, a scris Leitschuh. „În al doilea rând, faptul că orice site pe care îl vizitez poate interacționa cu acest server web care rulează pe laptopul meu este o mare bilă neagră pentru mine ca cercetător în domeniul securității.”
Ediția a V-a a Conferinței de analiză de risc va avea loc pe data de…
Roadshow-ul Power of Video, organizat de Milestone Systems, va demonstra diferite moduri în care conținutul…
La data de 18 decembrie., polițiștii de investigații criminale din cadrul Poliției municipiului Roman au…
Într-o lume cu abonamente la cu trafic de internet nelimitat, nu mai ai nevoie neapărat…
Cel mai recent film care continuă seria ”Star Wars” a atras atenţia atacatorilor chiar înainte…
Polițiștii ieșeni au identificat trei bărbați și o tânără, bănuiți de furturi din genți și…