Исследователь безопасности Джонатан Лейтшу нашел уязвимость нулевого дня в приложении для видеосвязи Zoom на компьютерах Mac. Сайты с вредоносным кодом добавляют пользователей в видеоконференции macOS без их ведома.
Такое стало возможно из-за установки локальных серверов Zoom в macOS. Они продолжают работать даже после удаления программы и могут переустановить его без разрешения пользователя.
This Zoom vulnerability is bananas. I tried one of the proof of concept links and got connected to three other randos also freaking out about it in real time. https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf
— Matt Haughey (@mathowie) July 9, 2019
Разработчики Zoom пояснили, что локальный сервер нужен для хранения информации о настройках. Обновление в браузере Safari привели к тому, что при каждом запуске Zoom пользователям приходилось заново настраивать приложение. Chromium и Mozilla тоже обнаружили уязвимость, но не нашли способ ее закрыть.
Представители компании пообещали выпустить обновление с исправлением ошибки в этом месяце.
В старых версиях Zoom Лейтшу обнаружил уязвимость к DDoS-атакам.
