Zoom går stort på fix för konferenssårbarhet

Slå dig ner i en bekväm stol; pauser med svala tvättlappar är tillåtna. Det här är en av dessa Zero-Day-historier med upptäckter, svar, fortfarande nyare upptäckter och diverse uppdateringar.

Ett larm för säkerhetsfel på måndag, 8 juli, lät om konferenser. "Detta är i grunden en nolldag, " sa mjukvaruingenjören som upptäckte det. CNET sa att säkerhetsbristen var stor; det var i en videokonferensapp som kunde göra det möjligt för webbplatser att ansluta dig till videosamtal utan din tillåtelse.

CNETs Australien-baserade Daniel Van Boom rapporterade att säkerhetsforskaren som upptäckte allt detta var Jonathan Leitschuh, en mjukvaruingenjör, som hade vänt sig till ett inlägg i Medium för att förklara vad han hittade.

Detta involverade Zooms Mac-app. Den har en klicka för att gå med-funktion, sa CNET, "där att klicka på en webbläsarlänk tar dig direkt till ett videomöte i Zooms app."

Hur enkelt:"Att gå med i ett samtal är särskilt enkelt; med ett klick på en mötesadress, sidan startar automatiskt skrivbordsappen, och du är med, sa Lily Hay Newman in Trådbunden .

Här är problemet. Denna sårbarhet "skulle ha tillåtit vilken webbsida som helst att DOS (Denial of Service) en Mac genom att upprepade gånger ansluta en användare till ett ogiltigt samtal."

Enkelt att fixa på egen hand, höger? Avinstallera bara Zoom. Det var inte så enkelt.

"Om du någonsin har installerat Zoom-klienten och sedan avinstallerat den, du har fortfarande en localhost-webbserver på din maskin som med glädje kommer att installera om Zoom-klienten åt dig, " Leitschuh hade sagt, "utan att det krävs någon användarinteraktion för din räkning förutom att besöka en webbsida."

Från och med den 9 juli, och innan den stora fixen, flera kritiker hade påpekat att de inte var bekväma med Zooms användning av en lokal webbserver på Mac-datorer. Trådbunden :"Zoom ställer in en lokal webbserver på varje användares Mac som tillåter anropsadresser att automatiskt starta skrivbordsappen. Zoom säger att den här inställningen är på plats som en "lösning" till en funktion i Safari 12 som kräver att användare godkänner Zoom startar varje gång de klickar på en samtalslänk."

Och, bortom Zoom och Leitschuh, Trådbunden bar kommentarer från Thomas Reed, en Mac-forskningsspecialist på säkerhetsföretaget Malwarebytes. "Den lokala webbservern är ärligt talat den mest oroande delen, och det är inte fixat, " sa Reed. "Webbservern är orolig, på grund av möjligheten att någon kan hitta ett sätt att använda det på distans för att trigga fjärrkörning av kod."

CNET från och med måndag, 8 juli, rapporterade det, "När det gäller en potentiell överbelastningsattack, Zoom säger att det inte finns några uppgifter om att en sådan svaghet har utnyttjats, och säger att det åtgärdade säkerhetsbristen i maj."

(Zoom korrigerade detta DoS-problem i en majuppdatering. Zoombloggen hade sagt att de släppte en korrigering för detta i maj 2019, "även om vi inte tvingade våra användare att uppdatera eftersom det empiriskt är en lågrisksårbarhet."

Vad har varit Zooms svar från och med senare, 9 juli? När det regnar ösregnar det.

Senare samma eftermiddag, 9 juli, Gränsen rubriken "Zoom fixar större säkerhetsbrister för Mac-webbkamera med nödpatch" och "Företaget tar nu bort lokala Mac-webbservrar."

Trådbunden publicerade en annan uppdateringsartikel den 9 juli senare på dagen och sa " EFTER ATT URSPRUTA SAGT att det inte skulle utfärda en fullständig korrigering för en sårbarhet som avslöjades i måndags, videokonferenstjänsten Zoom har ändrat kurs. Företaget säger nu till WIRED att det kommer att lägga ut en patch på tisdag för att ändra Zooms funktionalitet och eliminera buggen. Du bör uppdatera Zoom nu."

Över till Zoom-bloggen, där uppdateringarna den 9 juli hade detta att säga:

"[UPPDATERING 14:35 PT, Tisdag 7/9] Patchen 9 juli till Zoom-appen på Mac-enheter som beskrivs nedan är nu live. Du kan se ett popup-fönster i Zoom för att uppdatera din klient, ladda ner den på zoom.us/download, eller leta efter uppdateringar genom att öppna ditt Zoom-appfönster, klickar du på zoom.us i det övre vänstra hörnet på skärmen, och klicka sedan på Sök efter uppdateringar."

Zoom hörde till slut, och svarade, till "skrik".

"[UPPDATERAD 13:15 PT, Tisdag 7/9] Vi uppskattar säkerhetsforskarens hårda arbete med att identifiera säkerhetsproblem på vår plattform. Initialt, vi såg inte webbservern eller video-on-hållningen som betydande risker för våra kunder och, faktiskt, kände att dessa var avgörande för vår sömlösa sammanfogningsprocess. Men när vi hörde skriken från våra användare under de senaste 24 timmarna, vi har beslutat att göra uppdateringarna av vår tjänst."

När detta skrevs) var detta uppdateringen i Medium från Leitschuh:"UPPDATERING—9 juli (pm). Enligt Zoom, de kommer att ha en fix skickad vid midnatt i natt Stillahavstid som tar bort den dolda webbservern; förhoppningsvis korrigerar detta de mest iögonfallande delarna av denna sårbarhet. Zooms vd har också försäkrat oss om att de kommer att uppdatera sin applikation för att ytterligare skydda användarnas integritet."

Nytt filter förbättrar robotens syn på 6-D poseuppskattning

Att använda artificiell intelligens för att upptäcka diskriminering

Elektronik

Tarifferna får GoPro att dra tillverkning från Kina

UAE utfärdar licens för det första arabiska kärnkraftverket

Ny Tesla-mjukvara som erbjuder full autonomi, säger Musk

Vetenskap

Mobilisering i massiv skala som krävs för att hantera klimatförändringar, säger forskare

10 kännetecken för överfallsvapen - och vad de gör

Laserbehandling visar potential för att minska industriell kemisk bearbetning av fordon