Chercheur dit Zoom serveur web est vulnérable à l’exécution de code à distance

0
16
zoom-meeting-transcript.png

Une capture d’écran de Zoom de la transcription de la fonctionnalité.

Pour le Zoom, la frappe juste de continuer à venir. La dernière nouveauté est l’arrivée d’un long évoquée exécution de code à distance (RCE), l’exploiter, est dit être toujours dans la controverse serveur web local qui avait été installé sur le Mac afin d’éviter un supplément de clic pour les utilisateurs.

Le chercheur qui a commencé à la débâcle pour le Zoom, Jonathan Leitschuh, a déclaré sur Twitter le vendredi qu’un RCE maintenant existé pour elle.

“Que @zoom_us démon (caché serveur web) est maintenant connu pour avoir une Vulnérabilité d’Exécution de Code à Distance!”, écrit-il.

“Mac Admins: assurez-vous que le Zoom est à jour ou que le démon est supprimé!

“Plus précisément, vous êtes vulnérable si vous avez désinstallé le Zoom de l’application à partir de votre ordinateur sans tuer le ZoomOpener processus et la suppression de `~/.zoomus` annuaire.”

L’exploit est d’être traitées de la CVE-2019-13567 étiquette.

Un utilisateur de twitter a montré hors de l’exploiter dans l’action.

Jeudi, Apple a déployé un silencieux de mise à jour qui a tué au large de Zoom à l’aide de son de suppression des logiciels malveillants de l’infrastructure.

Au début de la fureur, Zoom défendu l’utilisation du serveur web, en disant à ZDNet dans une déclaration qu’elle était une “solution légitime à une mauvaise expérience utilisateur, ce qui permet à nos utilisateurs d’avoir, sans soudure, de l’un-clic-pour-participer à des réunions, ce qui est notre clé de produit facteur de différenciation”.

Le jour suivant, le Zoom a déclaré qu’il ferait remonter son serveur web local de soutien dans un patch préparé pour la nuit de mardi à mercredi.

Zoom dit ZDNet auparavant, son changement de cap a été en réponse aux commentaires des clients, pas des problèmes de sécurité.

“Il n’a jamais été une exécution de code à distance vulnérabilité identifiée,” la compagnie a dit il y a deux jours.

“Zoom décidé de supprimer le serveur web basé sur la rétroaction de la collectivité de la sécurité et de nos utilisateurs.”

Leitschuh dit au début de la semaine, l’utilisation du serveur local est fondamental de vulnérabilité de la sécurité, et les sites ne doivent pas communiquer avec les applications de cette façon.

“Permettez-moi de commencer par dire après avoir installé une application qui exécute un serveur web sur ma machine locale avec un totalement sans-papiers de l’API se sent incroyablement croquis pour moi”, écrit-il.

“Deuxièmement, le fait que tout site web que je visite peut interagir avec ce serveur web qui tourne sur ma machine est un immense drapeau rouge pour moi comme un Chercheur en Sécurité.”

Liés À La Couverture

Mise à jour d’Apple tue Zoom serveur web

Zoom PDG dit société a mal évalué la situation qui a roulé dans sa troisième journée.

Zoom renverse le cours de tuer Mac serveur web local

Moins d’un jour après la sauvegarde de son approche pour obtenir autour de Safari restrictions sur Mac, un Zoom serveur web local n’est plus.

Zoom défend l’utilisation d’un serveur web local sur Mac après le rapport sur la sécurité

Local serveur web aurait également réinstaller Zoom si un utilisateur supprime l’application et rejoint une réunion.

Zoom PAPE s’ouvre à un eye-popping de 65 $par action

Le cloud d’entreprise vidéo entreprise de communication mobilisés majeur du marché de l’excitation comme la Silicon Valley de la licorne qui a fait tourné un bénéfice.

Zoom rapports forte T1, ups outlook, ajoute à un gonflement de la base de clientèle

Zoom de l’introduction en bourse a été chaud et la société au premier trimestre, les résultats n’étaient pas loin derrière.

Rubriques Connexes:

De sécurité de la TÉLÉVISION

La Gestion Des Données

CXO

Les Centres De Données