Дослідник безпеки Джонатан Лейтшу знайшов уразливість нульового дня в додатку для відеозв’язку Zoom на комп’ютерах Mac. Сайти зі шкідливим кодом додають користувачів у відеоконференції macOS без їх відома.
Таке стало можливо через установки локальних серверів Zoom в macOS. Вони продовжують працювати навіть після видалення програми і можуть перевстановити його без дозволу користувача.
Розробники Zoom пояснили, що локальний сервер потрібен для зберігання інформації про налаштування. Оновлення в браузері Safari привели до того, що при кожному запуску Zoom користувачам доводилося заново налаштовувати додаток. Chromium і Mozilla теж виявили уразливість, але не знайшли спосіб її закрити.
Представники компанії пообіцяли випустити оновлення з виправленням помилки в цьому місяці.
У старіших версіях Zoom Лейтшу виявив уразливість до DDoS-атак.
Leave a Comment