심각한 제로데이 취약점 줌 보안 연구원 Jonathan Leitchuh가 오늘 Mac용 화상 회의 앱을 공개했습니다.
안에 중간 포스트 , Leitschuh는 웹 페이지를 방문하는 것만으로도 해당 사이트가 Zoom 앱이 설치된 Mac에서 강제로 화상 통화를 시작할 수 있음을 보여주었습니다.
이 결함은 부분적으로 Zoom 앱이 Mac에 설치하는 웹 서버로 인해 '일반 브라우저에서는 허용하지 않는' 요청을 수락한다고 합니다. 더 버지 , 독립적으로 취약점을 확인했습니다.
또한, 이전 버전의 Zoom(패치된 이후)에서는 취약점이 사용자를 잘못된 호출에 반복적으로 참여시켜 Mac에서 DOS(서비스 거부)에 대한 모든 웹페이지를 허용했다고 Leitchuh는 말합니다. Leitchuh에 따르면 Zoom에는 '충분한 자동 업데이트 기능'이 없기 때문에 여전히 위험할 수 있으므로 사용자가 여전히 이전 버전의 앱을 실행하고 있을 가능성이 있습니다.
Leitschuh는 3월 말에 Zoom에 문제를 공개하여 회사에 문제를 해결할 수 있는 90일의 시간을 주었지만 보안 연구원은 취약점이 여전히 앱에 남아 있다고 보고했습니다.
Zoom 개발자가 취약점에 대해 조치를 취하기를 기다리는 동안 사용자는 회의에 참여할 때 Zoom이 Mac의 카메라를 켤 수 있도록 하는 설정을 비활성화하여 취약점을 스스로 방지하기 위한 조치를 취할 수 있습니다.
Zoom은 웹 페이지를 방문하는 것 외에 사용자 상호 작용 없이 Mac에 Zoom 클라이언트를 다시 설치할 수 있는 백그라운드 프로세스로 localhost 웹 서버를 설치하기 때문에 단순히 앱을 제거하는 것은 도움이 되지 않습니다.
유용하게도, Leitschuh의 바닥 중간 포스트 웹 서버를 완전히 제거하는 일련의 터미널 명령이 포함되어 있습니다.
업데이트: 에게 주어진 성명서에서 지디넷 , Zoom은 Safari 12에서 도입된 변경 사항에 대한 '해결 방법'으로 Mac에서 로컬 웹 서버 사용을 옹호했습니다. 회사는 백그라운드에서 로컬 서버를 실행하는 것이 '열악한 사용자 경험에 대한 합법적인 솔루션이라고 느꼈습니다. 사용자가 원클릭으로 회의에 원활하게 참여할 수 있도록 하는 것이 핵심 제품 차별화 요소입니다.'
업데이트 2: Zoom은 더 이상 방어 자세를 취하지 않으며 이제 패치를 출시했습니다 .
태그: 보안 , 줌
인기 게시물