Jonathan Leitschuh vient d'annoncer «une vulnérabilité dans le Mac Zoom client" cela permet "un site Web malveillant pour permettre à votre appareil photo sans votre permission". Le problème connu sous la référence CVE-2019-13450 met potentiellement à risque jusqu'à 750,000 entreprises du monde entier qui utilisent Zoom pour la conduite des affaires au jour le jour, patin de guidage de poste dit dans un milieu.
La CVE-2019-13450 la vulnérabilité est présente même si l'utilisateur Mac a désinstallé le client Zoom, permettant à un attaquant distant d'activer la webcam de l'appareil. Pourquoi est-ce si menaçant? Parce que Zoom est l'un des plus célèbres plates-formes de cloud computing pour la vidéo, audio et le partage d'écran. La plate-forme est largement adoptée par les entreprises à travers le monde car elle permet webinaires, cours en ligne, réunions, entraînement, etc.
Cependant, l'application client pour les ordinateurs Mac Zoom peut permettre à des attaquants d'exécuter du code à distance arbitraire. Il convient de noter que cette attaque est possible si elle est enchaînée avec une vulnérabilité séparée. Les deux vulnérabilités sont les suivantes:
DOS vulnérabilité - Correction dans la version client 4.4.2 - CVE-2019-13449
Divulgation d'information (Webcam)- -CVE-2019-13450 non corrigées
Peu dit, la question est liée à la présence de la fonction click-to-join qui a été conçu pour activer automatiquement Zoom permettant ainsi aux utilisateurs de rejoindre rapidement une réunion vidéo en utilisant leur navigateur web. « Cette vulnérabilité met à profit la fonctionnalité Zoom étonnamment simple où vous pouvez simplement envoyer quelqu'un un lien de réunion (par exemple https://zoom.us/j/492468757) et quand ils ouvrent ce lien dans leur navigateur leur client Zoom est magique ouvert sur leur machine locale,» Le chercheur a expliqué.
Comme indiqué, la seule action nécessaire est de cliquer sur un lien inviter. Ce que le chercheur a découvert que la fonction mentionnée a besoin d'un serveur web local sur le système sur port 19421. Le port reçoit des commandes via GET HTTPS et un site Web dans le navigateur de l'utilisateur peut interagir avec. Ce comportement est plutôt précaire.
Comment peut-2019-13450 CVE EXPLOITER contre les utilisateurs de Mac?
La seule chose que l'attaquant doit faire est de créer un lien d'invitation via un compte sur le site Web de zoom et l'intégrer sur un site Web tiers comme une balise d'image ou via iFrame. Ensuite, l'attaquant doit convaincre l'objectif de visiter ce site particulier.
Qu'est-ce que Zoom faire pour assurer ses utilisateurs? Apparemment, la société n'a pas été efficace dans ses actions, comme en témoigne poste de Leitschuh:
Cette vulnérabilité a été divulguée de façon responsable sur Mars 26, 2019. Ce rapport initial comprenait une description proposée d'un zoom « quick fix » pourrait avoir mis en place en changeant simplement leur logique de serveur. Il a fallu Zoom 10 jours pour confirmer la vulnérabilité. La première réunion réelle sur la façon dont serait patché la vulnérabilité a eu lieu le 11 Juin, 2019, seulement 18 jours avant la fin de la date limite de divulgation publique de 90 jours. Au cours de cette réunion, les détails de la vulnérabilité ont été confirmées et la solution prévue de zoom a été discuté. Cependant, J'étais très facilement en mesure de repérer et décrire pontages dans leur solution prévue. À ce point, Zoom a été laissé 18 jours pour résoudre la vulnérabilité. Le 24 Juin après 90 jours d'attente, le dernier jour avant la date limite de divulgation publique, J'ai découvert que Zoom avait mis en œuvre la solution « solution rapide » proposé initialement.
Comme l'a noté le chercheur, la vulnérabilité est sans aucun doute un défaut zéro jour, qui n'a pas été fixée dans la période de divulgation de 90 jours, qui est la « norme de l'industrie ». Cela laisse plus de 4 millions d'utilisateurs de Zoom sur Mac vulnérables au bogue sérieux de la vie privée.
Cependant, les utilisateurs peuvent toujours résoudre le problème eux-mêmes en désactivant la capacité de zoom pour activer la webcam lors de l'adhésion à une réunion. Il y a aussi une commande de terminal qui peut être utilisé:
# Pour seulement votre compte local
defaults write ~ / Library / Preferences / us.zoom.config.plist ZDisableVideo 1
# Pour tous les utilisateurs sur la machine
par défaut sudo écrire /Library/Preferences/us.zoom.config.plist ZDisableVideo 1