में एक गंभीर शून्य-दिन भेद्यता ज़ूम मैक के लिए वीडियो कॉन्फ्रेंसिंग ऐप का सार्वजनिक रूप से आज सुरक्षा शोधकर्ता जोनाथन लीट्सचुह ने खुलासा किया।
में एक मध्यम पद , Leitschuh ने प्रदर्शित किया कि केवल एक वेबपेज पर जाने से साइट को मैक पर जूम ऐप के साथ जबरन वीडियो कॉल शुरू करने की अनुमति मिलती है।
दोष को आंशिक रूप से एक वेब सर्वर के कारण कहा जाता है जो मैक पर जूम ऐप इंस्टॉल करता है जो 'अनुरोध स्वीकार करता है नियमित ब्राउज़र नहीं करेगा', जैसा कि नोट किया गया है कगार , जिसने स्वतंत्र रूप से भेद्यता की पुष्टि की।
इसके अलावा, लीट्सचुह का कहना है कि जूम के पुराने संस्करण में (पैच के बाद से) भेद्यता ने किसी भी वेबपेज को डॉस (सेवा से इनकार) मैक को बार-बार एक उपयोगकर्ता को एक अमान्य कॉल में शामिल करके अनुमति दी। लीट्सचुह के अनुसार, यह अभी भी एक खतरा हो सकता है क्योंकि ज़ूम में 'पर्याप्त ऑटो-अपडेट क्षमताओं' का अभाव है, इसलिए संभावना है कि उपयोगकर्ता अभी भी ऐप के पुराने संस्करण चला रहे हैं।
लीट्सचुह ने कहा कि उन्होंने मार्च के अंत में जूम को समस्या का खुलासा किया, कंपनी को इस मुद्दे को ठीक करने के लिए 90 दिन का समय दिया, लेकिन सुरक्षा शोधकर्ता की रिपोर्ट है कि ऐप में अभी भी भेद्यता बनी हुई है।
जब हम ज़ूम डेवलपर्स द्वारा भेद्यता के बारे में कुछ करने की प्रतीक्षा करते हैं, तो उपयोगकर्ता उस सेटिंग को अक्षम करके भेद्यता को रोकने के लिए कदम उठा सकते हैं जो मीटिंग में शामिल होने पर ज़ूम को आपके मैक के कैमरे को चालू करने की अनुमति देता है।
ध्यान दें कि केवल ऐप को अनइंस्टॉल करने से मदद नहीं मिलेगी, क्योंकि ज़ूम लोकलहोस्ट वेब सर्वर को एक पृष्ठभूमि प्रक्रिया के रूप में स्थापित करता है जो वेब पेज पर जाने के अलावा किसी भी उपयोगकर्ता के संपर्क की आवश्यकता के बिना मैक पर ज़ूम क्लाइंट को फिर से स्थापित कर सकता है।
मददगार रूप से, लेइट्सचुह के तल मध्यम पद टर्मिनल कमांड की एक श्रृंखला शामिल है जो वेब सर्वर को पूरी तरह से अनइंस्टॉल कर देगी।
अद्यतन: को दिए गए एक बयान में जेडडीनेट , ज़ूम ने मैक पर स्थानीय वेब सर्वर के अपने उपयोग का बचाव सफारी 12 में पेश किए गए परिवर्तनों के लिए 'वर्कअराउंड' के रूप में किया। कंपनी ने कहा कि उसे लगा कि पृष्ठभूमि में एक स्थानीय सर्वर चलाना 'खराब उपयोगकर्ता अनुभव का वैध समाधान' है, हमारे उपयोगकर्ताओं को निर्बाध, एक-क्लिक-टू-जॉइन मीटिंग्स में सक्षम बनाता है, जो कि हमारा प्रमुख उत्पाद विभेदक है।'
अपडेट 2: ज़ूम अब रक्षात्मक रुख नहीं अपना रहा है और है अब एक पैच जारी किया .
टैग: सुरक्षा, ज़ूम
लोकप्रिय पोस्ट