• Home
  • Chimica
  • Astronomia
  • Energia
  • Natura
  • Biologia
  • Fisica
  • Elettronica
    •  science >> Scienza >  >> Elettronica
    Zoom va alla grande per correggere la vulnerabilità delle conferenze

    Accomodati su una sedia comoda; sono consentite pause con salviette fresche. Questa è una di quelle storie Zero-Day con scoperte, risposte, scoperte ancora più recenti e aggiornamenti assortiti.

    Lunedì un allarme falla di sicurezza, 8 luglio si è parlato di conferenza. "Questo è essenzialmente uno Zero Day, " ha affermato l'ingegnere del software che l'ha individuato. CNET ha affermato che la falla di sicurezza era grave; era in un'app di videoconferenza che poteva consentire ai siti Web di unirsi a te nelle videochiamate senza il tuo permesso.

    Daniel Van Boom di CNET, con sede in Australia, ha riferito che il ricercatore di sicurezza che ha scoperto tutto questo è stato Jonathan Leitschh, un ingegnere informatico, che si era rivolto a un posto in medio per spiegare cosa ha trovato.

    Ciò ha coinvolto l'app per Mac di Zoom. Ha una funzione click-to-join, ha detto CNET, "dove facendo clic su un collegamento del browser si accede direttamente a una riunione video nell'app di Zoom".

    Quanto è semplice:"Partecipare a una chiamata è particolarmente facile; con il clic dell'URL di una riunione, la pagina avvia automaticamente l'app desktop, e tu sei dentro, " ha detto Lily Hay Newman in Cablato .

    Ecco il problema. Questa vulnerabilità "avrebbe consentito a qualsiasi pagina Web di accedere al DOS (Denial of Service) di un Mac collegando ripetutamente un utente a una chiamata non valida".

    Semplice da riparare da solo, Giusto? Basta disinstallare Zoom. Non era così semplice.

    "Se hai mai installato il client Zoom e poi lo hai disinstallato, hai ancora un server web localhost sul tuo computer che reinstallerà felicemente il client Zoom per te, "Leitschuh aveva detto, "senza richiedere alcuna interazione dell'utente per tuo conto oltre a visitare una pagina web."

    Dal 9 luglio e prima della grande correzione, diversi critici avevano osservato che non erano a loro agio con l'uso di Zoom di un server Web locale su computer Mac. Cablato :"Zoom configura un server Web locale sul Mac di ogni utente che consente agli URL di chiamata di avviare automaticamente l'app desktop. Zoom afferma che questa configurazione è in atto come una 'soluzione alternativa' a una funzionalità di Safari 12 che richiederebbe agli utenti di approvare Zoom avvio ogni volta che fanno clic su un collegamento di chiamata."

    E, oltre Zoom e Leitschah, Cablato riportava le osservazioni di Thomas Reed, uno specialista di ricerca Mac presso l'azienda di sicurezza Malwarebytes. "Il server web locale è onestamente la parte più preoccupante, e non è fisso, " ha detto Reed. "Il server web è preoccupante, a causa della possibilità che qualcuno possa trovare un modo per usarlo in remoto per attivare l'esecuzione di codice remoto."

    CNET da lunedì, 8 luglio riferito che, "Per quanto riguarda un potenziale attacco Denial of Service, Zoom afferma di non avere alcuna traccia di tale debolezza sfruttata, e dice che ha risolto quel difetto di sicurezza a maggio."

    (Zoom ha corretto questo problema DoS in un aggiornamento di maggio. Il blog di Zoom aveva dichiarato di aver rilasciato una correzione per questo nel maggio 2019, "sebbene non abbiamo obbligato i nostri utenti ad aggiornare perché è empiricamente una vulnerabilità a basso rischio.")

    Quali sono state le risposte di Zoom in seguito, 9 luglio? Quando piove, diluvia.

    Più tardi quel pomeriggio, 9 luglio Il Verge intitolato "Zoom risolve i principali difetti di sicurezza della webcam Mac con patch di emergenza" e "L'azienda sta ora rimuovendo i server Web Mac locali".

    Cablato ha pubblicato un altro articolo di aggiornamento del 9 luglio nel corso della giornata dicendo "DOPO INIZIALMENTE DETTO che non avrebbe emesso una correzione completa per una vulnerabilità divulgata lunedì, il servizio di videoconferenza Zoom ha cambiato rotta. La società ora dice a WIRED che martedì lancerà una patch per alterare la funzionalità di Zoom ed eliminare il bug. Dovresti aggiornare Zoom ora."

    Passando al blog di Zoom, dove gli aggiornamenti del 9 luglio dicevano questo:

    "[AGGIORNAMENTO 14:35 PT, Martedì 7/9] La patch del 9 luglio per l'app Zoom sui dispositivi Mac descritta di seguito è ora disponibile. Potresti vedere un pop-up in Zoom per aggiornare il tuo client, scaricalo su zoom.us/download, o controlla gli aggiornamenti aprendo la finestra dell'app Zoom, facendo clic su zoom.us nell'angolo in alto a sinistra dello schermo, e quindi facendo clic su Verifica aggiornamenti."

    Zoom alla fine ha sentito, e ha risposto, al "clamore".

    "[AGGIORNATO 13:15 PT, Martedì 7/9] Apprezziamo il duro lavoro del ricercatore di sicurezza nell'identificare i problemi di sicurezza sulla nostra piattaforma. Inizialmente, non consideravamo il server web o l'attivazione del video come rischi significativi per i nostri clienti e, infatti, sentivano che questi erano essenziali per il nostro processo di adesione senza soluzione di continuità. Ma ascoltando le proteste dei nostri utenti nelle ultime 24 ore, abbiamo deciso di apportare gli aggiornamenti al nostro servizio."

    Al momento della stesura di questo articolo) questo era l'aggiornamento in medio da Leitschhuh:"AGGIORNAMENTO—9 luglio (pm). Secondo Zoom, avranno una correzione spedita entro la mezzanotte di stasera, ora del Pacifico, rimuovendo il server web nascosto; si spera che questo risolva le parti più evidenti di questa vulnerabilità. Il CEO di Zoom ci ha anche assicurato che aggiorneranno la loro applicazione per proteggere ulteriormente la privacy degli utenti".

    © 2019 Scienza X Rete




    Elettronica
    Scienza
    Scienza
  • Chimica
  • Astronomia
  • Energia
  • Natura
  • Biologia
  • Fisica
  • Elettronica
  • Geologia
  • Eclissi solareen
  • Matematica
  • Altro
  • Nanotecnologia
    • Elettronica
    Scienza
    © Scienza https://it.scienceaq.com