Открыть список
Как стать автором
Обновить

Apple выпустила «тихий» апдейт для Mac, чтоб удалить скрытый веб-сервер от Zoom

Информационная безопасностьРазработка под MacOS


Компания Apple выпустила «тихое» обновление для операционной системы macOS. Обновление устанавливается незаметно для пользователя и удаляет уязвимый компонент в популярном приложении для видеоконференций Zoom. Уязвимый компонент — это скрытый веб-сервер localhost, который раньше устанавливался на компьютер при инсталляции клиента Zoom и оставался на компьютере даже после удаления клиента.

В последние несколько дней большой резонанс получило расследование специалиста по безопасности Джонатана Лейтшуха (Jonathan Leitschuh). Он показал, что Mac Zoom Client позволяет любому сайту активировать веб-камеру Mac без согласия пользователя (или присоединиться к текущему разговору). Это позволяет просто вырубить «мак» с любой веб-страницы отправкой непрерывного потока запросов на подключение к некорректному звонку. Соответствующие уязвимости зарегистрированы под номерами CVE-2019–13449 (DoS-атака) и CVE-2019–13450 (веб-сервер). Первую из них Zoom исправила в версии клиента 4.4.2, а вторая закрывается нынешним обновлением.

Обновление не требует взаимодействия с пользователем и развёртывается автоматически. Оно удаляет скрытый веб-сервер, который Zoom устанавливает на компьютерах пользователей вместе с приложением для проведения видеоконференций.

Веб-сервер


Интересно, что если установить клиент Zoom, а потом удалить его, веб-сервер localhost остаётся на компьютере. Он автоматически переустановит Zoom без всякого взаимодействия с пользователем по запросу веб-страницы.



Эта «функция» продолжала работать, пока Джонатан Лейтшух не решил разгласить информацию, чтобы вынудить Apple всё-таки признать её как уязвимость.



Apple и Zoom, видимо, изначально не считали её уязвимостью. Ведь это так удобно: вы можете послать кому-угодно ссылку по почте или в мессенджере (например, https://zoom.us/j/492468757), получатель нажмёт на неё — и у него на компьютере волшебным образом откроется клиент Zoom. Настоящая магия.



К сожалению, функция была реализована не совсем безопасным образом, и слишком многое позволяла сторонним сайтам.

Исследователь сообщил представителю Zoom об уязвимости 26 марта 2019 года, в том числе предложил описание хотфикса, который можно было реализовать путём простого изменения логики сервера. На подтверждение уязвимости Zoom потребовалось 10 дней. Первое реальное обсуждение темы состоялось 11 июня 2019 года, всего за 18 дней до окончания 90-дневного срока публичного раскрытия. В ходе этой встречи были подтверждены детали уязвимости и обсуждён запланированный патч для Zoom. Но Джонатан говорит, что в их запланированном исправлении он уже изначально мог описать способ обхода. По сути, компания не смогла чётко сформулировать суть уязвимости и быстро выпустить эффективный патч.

Zoom выпустила патч 21 июня, за три дня до истечения положенного срока, но довольно быстро был обнаружен способ обойти его и снова обратиться к веб-серверу на компьютере пользователя с посторонней веб-страницы. Джонатан Лейтшух опубликовал веб-страницу с демонстрацией концепции. Если у вас не установлен последний патч, то по нажатию на эту ссылку автоматически активируется вызов Zoom и включится веб-камера.

8 июля вышла новая версия Zoom, которая должна была защитить пользователей от несанкционированной активности веб-сервера localhost. После установки нового обновления клиент спрашивает у пользователей, хотят ли они открыть приложение, тогда как раньше оно открывалось автоматически. Но для полного решения проблемы понадобилось ещё и обновление операционной системы.

Как часто делает Apple, новое обновление устанавливается на компьютеры пользователей без их ведома. Представитель Zoom Присцилла Маккарти (Priscilla McCarthy) сказала TechCrunch: «Вместе с Apple мы работали над тестированием этого обновления. Мы ожидаем, что проблема веб-сервера сегодня будет решена. Благодарим пользователей за терпение, поскольку мы продолжаем работать над решением их проблем».

Обновление можно установить самостоятельно из командной строки:

softwareupdate -i MRTConfigData_10_14-1.45 --include-config-data

Более четырёх миллионов пользователей в 750 000 компаниях по всему миру используют Zoom для видеоконференций.
Теги:macOSZoomвидеоконференции
Хабы: Информационная безопасность Разработка под MacOS
Всего голосов 25: ↑22 и ↓3 +19
Просмотры18.6K

Похожие публикации

Разработчик на Swift (iOS, MacOS)
от 2 500 $Auslogics LabsМожно удаленно
Инженер-проектировщик систем информационной безопасности
от 30 000 до 60 000 ₽ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫВолгоградМожно удаленно
Системный инженер (аудит ПО)
от 40 000 до 70 000 ₽ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫВолгоградМожно удаленно
Технический Писатель
от 30 000 до 50 000 ₽ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫВолгоград
Android Kotlin разработчик
от 100 000 до 200 000 ₽Look digital signageМожно удаленно

Лучшие публикации за сутки