Zoom выпустила экстренный патч, чтобы закрыть уязвимость с веб-камерами на macOS. Она позволяла включать их удалённо Материал редакции

Компания не считала проблему серьёзной, но передумала.

В закладки
Аудио

Сервис для видеозвонков Zoom выпустил экстренный патч, чтобы закрыть уязвимость, позволяющую удалённо включать веб-камеры на macOS. Обновление удалит с компьютеров пользователей локальные сервера, ставшие причиной проблемы. Об этом говорится в дополненном заявлении на сайте Zoom.

Сначала Zoom защищала свою позицию и не собиралась вносить изменения в программу, но передумала, когда публикация об уязвимости от исследователя Джонатана Лейтшуха разошлась в СМИ.

Патч 9 июля сделает следующее:

1. Полностью удалит локальные веб-серверы после обновления. Мы прекращаем использовать серверы на устройствах macOS, а после публикации патча его предложат установить всем пользователям через уведомление.

2. Позволит пользователям удалять Zoom вручную. Мы добавляем новую возможность в меню Zoom, которая позволит вручную и полностью деинсталлировать клиент, включая веб-сервер. После применения патча у всех пользователей появится опция «Удалить Zoom».

из публикации Zoom

В материале Лейтшуха говорилось, что Zoom вместе с приложением устанавливает на macOS локальный веб-сервер, который взаимодействует с сайтами. Таким образом сервис обходит ограничения браузеров и запускает звонки по клику на специальную ссылку, но это также позволяет злоумышленникам подключать пользователей к звонкам без спроса.

В компании настаивали, что сервер был безопасным, а пользователи всегда могли заметить, если их подключили к звонку. В Zoom объясняли использование сервера экономией кликов, однако он также позволял переустановить приложение после удаления без дополнительного подтверждения.

Как отметил Лейтшух, после его публикации к обсуждению проблемы подключился гендиректор Zoom Эрик Юань (Eric Yuan). Он лично проверил эксплуатацию уязвимости и принёс извинения за реакцию компании.

В Твиттере заметили, что Zoom оказался не единственным, кто использовал веб-сервера на macOS. Среди других популярных сервисов похожую схему применяют Spotify, Keybase, iTunes, KBFS Numi и не только.

@backlon @darkuncle They are far from alone, a quick `lsof -i | grep LISTEN` shows that I have: Spotify, Keybase, KBFS, iTunes, Numi, http://Encrypt.me… All running locally listening web servers.
{ "author_name": "Дамир Камалетдинов", "author_type": "editor", "tags": ["\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438","\u043f\u0440\u0438\u0432\u0430\u0442\u043d\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 6, "likes": 16, "favorites": 2, "is_advertisement": false, "subsite_label": "tech", "id": 105680, "is_wide": false, "is_ugc": false, "date": "Wed, 10 Jul 2019 14:04:10 +0300", "is_special": false }
0
{ "id": 105680, "author_id": 50011, "diff_limit": 1000, "urls": {"diff":"\/comments\/105680\/get","add":"\/comments\/105680\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/105680"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 214344, "last_count_and_date": null }
6 комментариев
Популярные
По порядку
Написать комментарий...
5

Устанавливаешь вот так приложение не из мак стора, а оно тебе в интернет доступ к локалке прокидывает, офигеть.

Ответить
0

Хотел уже кинуть ссылку на новость в дев чатик, а ты уже тут!

Ответить
0

2. Позволит пользователям удалять Zoom вручную. Мы добавляем новую возможность в меню Zoom, которая позволит вручную и полностью деинсталлировать клиент, включая веб-сервер. После применения патча у всех пользователей появится опция «Удалить Zoom».

А ничего, что оно должно удаляться через «Программы и компоненты»? Кто полезет в настройки программы, чтобы её удалить?

Ответить
0

В макоси-то программы и компоненты?

Ответить
0

В статье не написано, что речь только про макось

Ответить
2

Zoom выпустила экстренный патч, чтобы закрыть уязвимость с веб-камерами на macOS

Ответить
Обсуждаемое
Новости
Фигурант «московского дела» Айдар Губайдулин уехал из России. Он находится под подпиской о невыезде
Его обвинили в том, что он бросил в сторону силовика пластиковую бутылку.
Истории
Человек, который хотел исчезнуть: загадка жизни и смерти Питера Бергманна, которую не могут решить уже десять лет
В 2009 году тело мужчины нашли на пляже в Ирландии. С помощью камер удалось восстановить его последние дни, но остальное прошлое будто «стёрто».
Наука
Парижский зоопарк представил новый экспонат — это «слизь» без мозга с 720 полами и способностью к самоисцелению
Таинственное одноклеточное существо назвали в честь хоррора 1958 года, где инопланетная слизь напала на американский городок.
Популярное за три дня
Новости
«Медуза» нашла спонсора, из-за которого ФБК признали «иностранным агентом». Он не смог объяснить причину перевода
Кикбоксёр из Испании Роберто Монда не ответил на вопрос, как нашёл реквизиты, не зная русского языка.
Истории
«Прекратите провокацию»: как СССР и США едва не развязали Третью мировую войну из-за Карибского кризиса
Конфликт, который максимально придвинул человечество к ядерной катастрофе.
Истории
Человек, который хотел исчезнуть: загадка жизни и смерти Питера Бергманна, которую не могут решить уже десять лет
В 2009 году тело мужчины нашли на пляже в Ирландии. С помощью камер удалось восстановить его последние дни, но остальное прошлое будто «стёрто».

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovy", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } }, { "id": 20, "label": "Кнопка в сайдбаре", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "chfbk", "p2": "gnwc" } } } ]