Zoom va gros sur le correctif pour la vulnérabilité de la conférence

Installez-vous dans un fauteuil confortable; les pauses avec des gants de toilette froids sont autorisées. C'est une de ces histoires Zero-Day avec des découvertes, réponses, découvertes encore plus récentes et mises à jour assorties.

Une alarme de faille de sécurité lundi, 8 juillet, a été sonné au sujet de la conférence. "C'est essentiellement un Zero Day, ", a déclaré l'ingénieur logiciel qui l'a repéré. CNET a déclaré que la faille de sécurité était majeure; il s'agissait d'une application de vidéoconférence qui pouvait permettre aux sites Web de vous rejoindre dans des appels vidéo sans votre permission.

Daniel Van Boom, basé en Australie, de CNET, a rapporté que le chercheur en sécurité qui a découvert tout cela était Jonathan Leitschuh, un ingénieur logiciel, qui s'était tourné vers un poste dans Moyen pour expliquer ce qu'il a trouvé.

Cela impliquait l'application Mac de Zoom. Il a une fonction de clic pour rejoindre, dit CNET, "où cliquer sur un lien de navigateur vous amène directement à une réunion vidéo dans l'application de Zoom."

Comme c'est simple : " Rejoindre un appel est particulièrement facile ; en cliquant sur l'URL d'une réunion, la page lance automatiquement l'application de bureau, et tu es dedans, " a déclaré Lily Hay Newman dans Filaire .

Voici le problème. Cette vulnérabilité "aurait permis à n'importe quelle page Web de DOS (Denial of Service) un Mac en joignant à plusieurs reprises un utilisateur à un appel invalide".

Simple à réparer vous-même, droit? Désinstallez simplement Zoom. Ce n'était pas si simple.

"Si vous avez déjà installé le client Zoom puis l'avez désinstallé, vous avez toujours un serveur Web localhost sur votre machine qui se fera un plaisir de réinstaller le client Zoom pour vous, " Leitschuh avait dit, "sans nécessiter aucune interaction de l'utilisateur en votre nom en plus de visiter une page Web."

Depuis le 9 juillet et avant le gros correctif, plusieurs critiques avaient fait remarquer qu'ils n'étaient pas à l'aise avec l'utilisation par Zoom d'un serveur Web local sur des ordinateurs Mac. Filaire :"Zoom configure un serveur Web local sur le Mac de chaque utilisateur qui permet aux URL d'appel de lancer automatiquement l'application de bureau. Zoom dit que cette configuration est en place comme une" solution de contournement "à une fonctionnalité de Safari 12 qui obligerait les utilisateurs à approuver Zoom lancer chaque fois qu'ils cliquent sur un lien d'appel."

Et, au-delà de Zoom et Leitschuh, Filaire a porté les remarques de Thomas Reed, un spécialiste de la recherche Mac à la société de sécurité Malwarebytes. "Le serveur Web local est honnêtement la partie la plus préoccupante, et ce n'est pas réglé, " a déclaré Reed. " Le serveur Web est préoccupant, en raison de la possibilité que quelqu'un puisse trouver un moyen de l'utiliser à distance pour déclencher l'exécution de code à distance."

CNET dès lundi, 8 juillet, rapporté que, "En ce qui concerne une attaque potentielle par déni de service, Zoom dit qu'il n'a aucune trace d'une telle faiblesse exploitée, et dit qu'il a corrigé cette faille de sécurité en mai."

(Zoom a corrigé ce problème DoS dans une mise à jour de mai. Le blog Zoom avait déclaré avoir publié un correctif pour cela en mai 2019, "bien que nous n'ayons pas forcé nos utilisateurs à mettre à jour car il s'agit empiriquement d'une vulnérabilité à faible risque.")

Quelles ont été les réponses de Zoom plus tard, 9 juillet ? Quand il pleut, ça se déverse.

Plus tard dans l'après-midi, 9 juillet Le bord titré "Zoom corrige une faille de sécurité majeure de la webcam Mac avec un correctif d'urgence" et "La société supprime maintenant les serveurs Web Mac locaux".

Filaire a publié un autre article de mise à jour du 9 juillet plus tard dans la journée disant "APRÈS AVOIR DIT INITIALEMENT qu'il ne publierait pas de correctif complet pour une vulnérabilité divulguée lundi, le service de visioconférence Zoom a changé de cap. La société dit maintenant à WIRED qu'elle publiera un correctif mardi pour modifier les fonctionnalités de Zoom et éliminer le bogue. Vous devriez mettre à jour Zoom maintenant."

Rendez-vous sur le blog Zoom, où les mises à jour du 9 juillet avaient ceci à dire :

"[MISE À JOUR 14h35 PT, Mardi 7/9] Le correctif du 9 juillet pour l'application Zoom sur les appareils Mac détaillé ci-dessous est maintenant en ligne. Vous pouvez voir une fenêtre contextuelle dans Zoom pour mettre à jour votre client, téléchargez-le sur zoom.us/download, ou vérifiez les mises à jour en ouvrant la fenêtre de votre application Zoom, en cliquant sur zoom.us dans le coin supérieur gauche de votre écran, puis en cliquant sur Rechercher les mises à jour."

Zoom a finalement entendu, et a répondu, au « tollé ».

"[MISE À JOUR À 13 h 15 PT, Mardi 7/9] Nous apprécions le travail acharné du chercheur en sécurité pour identifier les problèmes de sécurité sur notre plate-forme. Initialement, nous ne considérions pas le serveur Web ou la position de diffusion vidéo comme des risques importants pour nos clients et, En réalité, ont estimé que ceux-ci étaient essentiels à notre processus d'adhésion sans faille. Mais en entendant le tollé de nos utilisateurs au cours des dernières 24 heures, nous avons décidé de faire les mises à jour de notre service."

Au moment d'écrire ces lignes), il s'agissait de la mise à jour dans Moyen de Leitschuh :"MISE À JOUR—9 juillet (après-midi). Selon Zoom, ils auront un correctif expédié avant minuit ce soir, heure du Pacifique, supprimant le serveur Web caché ; Espérons que cela corrige les parties les plus flagrantes de cette vulnérabilité. Le PDG de Zoom nous a également assuré qu'il mettrait à jour son application pour protéger davantage la vie privée des utilisateurs. »

Un nouveau filtre améliore la vision du robot lors de l'estimation de pose 6D

Utiliser l'intelligence artificielle pour détecter la discrimination

Électronique