视频会议软件Zoom遭爆料,其Mac客户端存在零时差漏洞,且处理漏洞态度消极。该消息披露迫使Zoom官方在博客紧急做出回应,表示新版本将会删除有安全疑虑的本地主机(Localhost)网页服务器,并且让用户在卸载程序时,能够移除本地主机网页服务器,另外,安全人员也质疑Zoom私密漏洞奖励计划,官方也承诺将会推出公开漏洞奖励计划,并完善漏洞回应消息与渠道。
安全研究员Jonathan Leitschuh在博客,披露Zoom的Mac客户端应用程序漏洞,引来社群对Zoom激烈的抗议。Jonathan Leitschuh提到,Zoom的用户在Mac上可能遭受DoS以及信息泄露攻击,而且Zoom通过在用户计算机安装无法移除的本地主机网页服务器,让任何网页都可以跟Zoom应用程序构通,这是非常危险的作法。Jonathan Leitschuh在3月的时候向Zoom回应这两个漏洞,但Zoom只在Mac版本的Zoom客户端4.4.2修复DoS漏洞,而未经用户同意,网页就能启动摄影机的信息泄露漏洞则未修补。
网络上大批的抗议声浪,让Zoom不得不进一步回应用户的意见。现在Mac设备上的Zoom客户端会收到更新消息,通知用户更新最新版本的应用程序,在用户完成更新后,系统将移除系统上的本地主机网页服务器,而且还在Zoom卸载程序中,加入完全移除本地主机网页服务器的选项,还会连带一并删除用户存储的设置。
另外,Zoom预计还会在7月时发布一次更新,修正Zoom默认激活摄影机的选项,用户未来安装该更新版本,在第一次选择始终关闭摄影机的选项后,系统便会自动保存为视频偏好选项,而用户也可以随时在视频设置中,默认关闭摄影机。Zoom提到,研究人员Jonathan Leitschuh认为用户有机会点击攻击者提供的恶意网页连接,在未知的情况启动摄影机,而他们目前还未观察到任何相关案例发生,不过为了安全起见,在7月将发布的更新还是会做出修正。
Zoom也说明了之所以会在Mac中安装本地主机网页服务器的原因,是为了要减少用户启动Zoom会议的手续,因为Safari 12的安全性变更,使得用户在加入Zoom会议的时候,需要多一道确认手续,才能启动Zoom客户端,而本地主机网页服务器是用来减少用户这类额外的点击动作,提高用户体验,Zoom提到,Mac设备上的本地主机网页服务器功能有限,也只能回应本地计算机的请求,而且他们并非是唯一采用这种启动视频会议方式的供应商。
而回应Jonathan Leitschuh抨击Zoom在解决漏洞时的消极态度,Zoom官方提到,之所以没有积极修补,是因为经过他们与其他研究人员评估,认为默认激活摄影机是个低风险的漏洞,才会决定不更改设置。而Zoom在5月时修补的DoS漏洞,虽然他们发出了更新应用程序,但是并未强制用户安装,也是因为他们同样认为,这是一个低风险的漏洞,至今尚未有用户因无限的加入会议请求,而导致系统遭到锁定。