Zoom går stort på fix til konferencesårbarhed

Sæt dig ned i en behagelig stol; pauser med kølige vaskeklude er tilladt. Dette er en af ​​de Zero-Day historier med opdagelser, svar, stadig nyere opdagelser og diverse opdateringer.

En sikkerhedsfejlalarm mandag, 8. juli, lød om konferencer. "Dette er i bund og grund en Zero Day, " sagde softwareingeniøren, der opdagede det. CNET sagde, at sikkerhedsfejlen var stor; det var i en videokonference-app, der kunne gøre det muligt for websteder at deltage i videoopkald uden din tilladelse.

CNETs Australien-baserede Daniel Van Boom rapporterede, at sikkerhedsforskeren, der opdagede alt dette, var Jonathan Leitschuh, en softwareingeniør, der havde henvendt sig til en post i Medium for at forklare, hvad han fandt.

Dette involverede Zooms Mac-app. Det har en klik-for-til-tilslut-funktion, sagde CNET, "hvor et klik på et browserlink fører dig direkte til et videomøde i Zooms app."

Hvor enkelt:"Det er særligt nemt at deltage i et opkald; med et klik på en møde-URL, siden starter automatisk desktop-appen, og du er med, " sagde Lily Hay Newman ind Kablet .

Her er problemet. Denne sårbarhed "ville have tilladt enhver webside at DOS (Denial of Service) en Mac ved gentagne gange at slutte en bruger til et ugyldigt opkald."

Nem at reparere på egen hånd, ret? Bare afinstaller Zoom. Det var ikke så enkelt.

"Hvis du nogensinde har installeret Zoom-klienten og derefter afinstalleret den, du stadig har en localhost-webserver på din maskine, som med glæde geninstallerer Zoom-klienten for dig, " Leitschuh havde sagt, "uden at kræve brugerinteraktion på dine vegne udover at besøge en webside."

Fra den 9. juli og før den store fix, flere kritikere havde bemærket, at de ikke var komfortable med Zooms brug af en lokal webserver på Mac-computere. Kablet :"Zoom sætter en lokal webserver op på hver brugers Mac, der tillader opkalds-URL'er automatisk at starte desktop-appen. Zoom siger, at denne opsætning er på plads som en 'løsning' til en funktion i Safari 12, der ville kræve, at brugerne godkender Zoom starter hver gang de klikker på et opkaldslink."

Og, ud over Zoom og Leitschuh, Kablet båret bemærkninger fra Thomas Reed, en Mac-forskningsspecialist hos sikkerhedsfirmaet Malwarebytes. "Den lokale webserver er ærligt talt den mest bekymrende del, og det er ikke løst, " sagde Reed. "Webserveren er bekymrende, på grund af muligheden for, at nogen kunne finde en måde at bruge det eksternt til at udløse fjernudførelse af kode."

CNET fra mandag d. 8. juli, rapporterede, at "Med hensyn til et potentielt lammelsesangreb, Zoom siger, at det ikke har registreret en sådan svaghed, der er blevet udnyttet, og siger, at det løste den sikkerhedsbrist i maj."

(Zoom rettede dette DoS-problem i en maj-opdatering. Zoom-bloggen havde udtalt, at de udgav en rettelse til dette i maj 2019, "selvom vi ikke tvang vores brugere til at opdatere, fordi det empirisk er en lavrisikosårbarhed."

Hvad har været Zooms svar fra senere, 9 juli? Når det regner, hælder det.

Senere på eftermiddagen, 9. juli, Randen med overskriften "Zoom retter større Mac-webcam-sikkerhedsfejl med nødpatch" og "Virksomheden fjerner nu lokale Mac-webservere."

Kablet udsendte en anden opdateringsartikel den 9. juli senere på dagen, hvori den sagde "EFTER AT INDLEDENDE HAR sagt, at det ikke ville udstede en fuldstændig rettelse af en sårbarhed, der blev afsløret i mandags, videokonferencetjenesten Zoom har ændret kurs. Virksomheden fortæller nu WIRED, at det vil skubbe en patch på tirsdag for at ændre Zooms funktionalitet og eliminere fejlen. Du bør opdatere Zoom nu."

Over til Zoom-bloggen, hvor opdateringerne den 9. juli havde dette at sige:

"[OPDATERING 14:35 PT, Tirsdag 7/9] Den 9. juli-patch til Zoom-appen på Mac-enheder beskrevet nedenfor er nu live. Du kan muligvis se en pop op i Zoom for at opdatere din klient, download det på zoom.us/download, eller se efter opdateringer ved at åbne dit Zoom-appvindue, ved at klikke på zoom.us i øverste venstre hjørne af din skærm, og klik derefter på Søg efter opdateringer."

Zoom endelig hørt, og svarede, til "raaben".

"[OPDATERET 13:15 PT, Tirsdag 7/9] Vi sætter pris på sikkerhedsforskerens hårde arbejde med at identificere sikkerhedsproblemer på vores platform. I første omgang, vi så ikke webserveren eller video-on-positionen som væsentlige risici for vores kunder og, faktisk, mente, at disse var afgørende for vores problemfri sammenføjningsproces. Men ved at høre opråbet fra vores brugere i de sidste 24 timer, vi har besluttet at foretage opdateringerne til vores service."

På tidspunktet for dette skrivende) var dette opdateringen i Medium fra Leitschuh:"OPDATERING – 9. juli (pm). Ifølge Zoom, de vil have en rettelse afsendt ved midnat i aften Stillehavstid, der fjerner den skjulte webserver; forhåbentlig retter dette de mest iøjnefaldende dele af denne sårbarhed. Zoom CEO har også forsikret os om, at de vil opdatere deres applikation for yderligere at beskytte brugernes privatliv."

© 2019 Science X Network