视频会议巨人在轻描淡写的错误后面临批评
更新安全研究人员已在Zoom视频会议应用程序的Mac版本中公开了未插入的漏洞,该应用程序允许恶意网站自动加入用户进行视频或语音调用,并在未经许可的情况下启用其网络摄像头。beplay体育能用吗
MAC缩放视频会议客户端中相关但现在被发现的漏洞也创造了一种手段,可以反复邀请目标加入无效的呼叫 - 这种策略可能会受到对未经保护系统的拒绝服务(DOS)攻击。
该DOS漏洞(CVE-2019–13449)使用Zoom Client 4.4.2固定。这信息披露(beplay体育能用吗网络摄像头)漏洞(CVE-2019–13450)似乎仍未拨动。
安全研究员乔纳森·莱茨(Jonathan Leitschuh)声称他在3月26日向Zoom通报了Zoom。他说,该应用程序开发人员坐在漏洞上,然后提出不完整的解决方案。
Leitschuh在一份中解释说:“最终,Zoom未能快速确认报告的漏洞实际上存在,并且他们未能及时解决给客户的问题。”技术博客文章在他给Zoom的90天公开披露截止日期后几天,周一出版。
Zoom的MAC客户端在用户删除应用程序后,在设备上安装本地Web服务beplay体育能用吗器。Leitschuh说,即使用户以前已经卸载了它,Zoom也会重新安装自身。
这意味着那些不再使用该应用程序的人同样容易受到利用,前提是他们被欺骗访问被诱捕的网站。beplay体育能用吗
幸运的是,有一个简单的(尽管不完整)修复程序。用户可以通过禁用Zoom在加入会议时打开网络摄像头的能力来部分保护自己。beplay体育能用吗
Leitschuh在他的博客文章中详细介绍了漏洞和一系列解决方法,并提供了概念验证的利用,可独立验证为功能。
Zoom提出了回复引起Leitschuh的关注,淡化了自动加入视频会议问题。
它说:“缩放客户端用户界面在启动时在前景中运行,对用户来说很明显,他们无意中加入了会议,他们可以更改视频设置或立即离开。”
“还要注意,我们没有迹象表明这曾经发生过。”
安全研究人员有争论这种反应不足。
一位Zoom PR代表告诉迄今为止的回应每日swbeplay2018官网ig它计划发布一个卸载器应用程序。
Zoom说:“我们没有一种简单的方法来帮助用户删除Zoom Client应用程序和启动客户端的Zoom Local Web服务器应用程序。”beplay体育能用吗“这是一个诚实的错误。
“目前,用户需要手动定位和删除这两个应用程序。到这个周末,我们将介绍一个新应用程序,以帮助用户轻松删除两个应用程序。”
本文已更新以包括Zoom的评论。
