視訊會議軟體Zoom遭爆料,其Mac客戶端存在零時差漏洞,且處理漏洞態度消極。該訊息揭露迫使Zoom官方在部落格緊急做出回應,表示新版本將會刪除有安全疑慮的本地主機(Localhost)網頁伺服器,並且讓用戶在解除安裝程序時,能夠移除本地主機網頁伺服器,另外,安全人員也質疑Zoom私密漏洞獎勵計畫,官方也承諾將會推出公開漏洞獎勵計畫,並完善漏洞回報訊息與管道。

資安研究員Jonathan Leitschuh在部落格,揭露Zoom的Mac客戶端應用程式漏洞,引來社群對Zoom激烈的抗議。Jonathan Leitschuh提到,Zoom的使用者在Mac上可能遭受DoS以及資訊洩露攻擊,而且Zoom透過在用戶電腦安裝無法移除的本地主機網頁伺服器,讓任何網頁都可以跟Zoom應用程式構通,這是非常危險的作法。Jonathan Leitschuh在3月的時候向Zoom回報這兩個漏洞,但Zoom只在Mac版本的Zoom客戶端4.4.2修復DoS漏洞,而未經用戶同意,網頁就能啟動攝影機的資訊洩露漏洞則未修補。

網路上大批的抗議聲浪,讓Zoom不得不進一步回應用戶的意見。現在Mac裝置上的Zoom客戶端會收到更新訊息,通知用戶更新最新版本的應用程式,在用戶完成更新後,系統將移除系統上的本地主機網頁伺服器,而且還在Zoom解除安裝程序中,加入完全移除本地主機網頁伺服器的選項,還會連帶一併刪除使用者儲存的設定。

另外,Zoom預計還會在7月時發布一次更新,修正Zoom預設啟用攝影機的選項,用戶未來安裝該更新版本,在第一次選擇始終關閉攝影機的選項後,系統便會自動保存為視訊偏好選項,而用戶也可以隨時在視訊設定中,預設關閉攝影機。Zoom提到,研究人員Jonathan Leitschuh認為用戶有機會點擊攻擊者提供的惡意網頁連結,在未知的情況啟動攝影機,而他們目前還未觀察到任何相關案例發生,不過為了安全起見,在7月將發布的更新還是會做出修正。

Zoom也說明了之所以會在Mac中安裝本地主機網頁伺服器的原因,是為了要減少用戶啟動Zoom會議的手續,因為Safari 12的安全性變更,使得用戶在加入Zoom會議的時候,需要多一道確認手續,才能啟動Zoom客戶端,而本地主機網頁伺服器是用來減少用戶這類額外的點擊動作,提高使用者體驗,Zoom提到,Mac裝置上的本地主機網頁伺服器功能有限,也只能回應本地計算機的請求,而且他們並非是唯一採用這種啟動視訊會議方式的供應商。

而回應Jonathan Leitschuh抨擊Zoom在解決漏洞時的消極態度,Zoom官方提到,之所以沒有積極修補,是因為經過他們與其他研究人員評估,認為預設啟用攝影機是個低風險的漏洞,才會決定不更改設定。而Zoom在5月時修補的DoS漏洞,雖然他們發出了更新應用程式,但是並未強制用戶安裝,也是因為他們同樣認為,這是一個低風險的漏洞,至今尚未有用戶因無限的加入會議請求,而導致系統遭到鎖定。


Advertisement

更多 iThome相關內容