CVE-2019-13.450: Dangerous Zero-Day i Mac Zoom Client
CYBER NEWS

CVE-2019-13.450: Dangerous Zero-Day i Mac Zoom Client

Jonathan Leitschuh bare rapporterede ”en sårbarhed i Mac Zoom Client”Der tillader”enhver ondsindet websted for at aktivere dit kamera uden din tilladelse". Spørgsmålet kendt under CVE-2019-13.450 potentielt udgør en risiko på op til 750,000 virksomheder rundt om i verden, der bruger zoom til at udføre dag-til-dag forretning, Stolpen slæbesko i et medium.




Den CVE-2019-13.450 sårbarhed er til stede, selv når Mac-bruger har afinstalleret Zoom klient, hvilket gør det muligt for en ekstern hacker at aktivere enhedens webcam. Hvorfor er det så truende? Fordi Zoom er en af ​​de mest kendte cloud-baserede platforme til video, lyd og skærm deling. Platformen er almindeligt vedtaget af virksomheder i hele verden, da det giver webinarer, online-kurser, møder, uddannelse, etc.

Men, Zoom klient app til Mac-computere kan tillade angribere at udføre remote vilkårlig kode. Det skal bemærkes, at dette angreb er muligt, hvis den er lænket med en separat sårbarhed. De to svagheder er følgende:

DOS Sårbarhed - Rettet i Client-version 4.4.2 - CVE-2019-13.449
Information Disclosure (Webcam)- Unpatched -CVE-2019-13.450

Kort sagt, problemet er stammer fra klik for at slutte sig til funktion, der er udviklet til automatisk at aktivere zoom og dermed gøre det muligt for brugerne hurtigt deltage i et videomøde ved hjælp af deres web browser. ”Denne sårbarhed udnytter den utroligt simple zoom funktion, hvor du bare kan sende nogen et møde link (f.eks https://zoom.us/j/492468757) og når de åbner der linker i deres browser deres Zoom klient er magisk åbnet på deres lokale maskine,”Forskeren forklarede.

Som sagt, den eneste nødvendige handling er at klikke på en invitation link. Hvad forskeren opdaget, er, at den nævnte funktion har brug for en lokal webserver på systemet på havn 19421. Havnen modtager kommandoer via HTTPS GET og enhver hjemmeside i brugerens browser kan interagere med det. Denne adfærd er temmelig usikker.

Hvordan kan CVE-2019-13.450 udnyttes mod Mac-brugere?

Det eneste, en angriber ville have at gøre, er at skabe en invitation link via en konto til Zoom hjemmeside og integrere det på en tredjeparts hjemmeside som et billede-tag eller via iFrame. Så hacker skal overbevise målet at besøge denne særlige hjemmeside.

Hvad gjorde Zoom gøre for at sikre sine brugere? Tilsyneladende, selskabet var ikke effektiv i sine handlinger, som tydeligt ved Leitschuh indlæg:

Denne sårbarhed blev oprindeligt ansvarligt oplyses på marts 26, 2019. Denne første rapport omfattede en foreslået beskrivelse af en ’quick fix’ Zoom kunne have implementeret ved blot at ændre deres server logik. Det tog Zoom 10 dage til at bekræfte sårbarheden. Det første egentlige møde om, hvordan sårbarheden vil blive lappet indtraf 11. juni, 2019, kun 18 dage inden udgangen af ​​fristen offentliggørelse på 90 dage. På dette møde, detaljerne i sårbarheden blev bekræftet og Zoom planlagte løsning blev drøftet. Men, Jeg var meget let i stand til at spotte og beskrive omfartsveje i deres planlagte fix. På dette tidspunkt, Zoom blev efterladt med 18 dage til at løse sårbarheden. Den 24. juni, efter 90 dages ventetid, den sidste dag før deadline offentliggørelse, Jeg opdagede, at zoom kun havde gennemført ’quick fix’ løsning oprindeligt foreslået.

Relaterede: OSX / Linker Malware Udnytter kendt Gatekeeper Sårbarhed

Som bemærket af forskeren, sårbarheden er absolut en zero-day fejl, som ikke er blevet rettet i den 90-dages afsløring periode, som er den ”industri standard”. Dette efterlader mere end 4 million brugere af Zoom på Mac sårbare over for de alvorlige fejl privatliv.

Men, brugere kan stadig løse problemet selv ved at deaktivere muligheden for zoom for at tænde for webcam, da de tiltrådte et møde. Der er også en terminal kommando, der kan bruges:

# For bare din lokale konto

defaults skrive ~ / Library / Preferences / us.zoom.config.plist ZDisableVideo 1

# For alle brugere på maskinen

sudo defaults skrive /Library/Preferences/us.zoom.config.plist ZDisableVideo 1

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum siden begyndelsen. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...