Phát hiện lỗ hổng bảo mật nghiêm trọng đe dọa người dùng Mac

09/07/2019 12:26 GMT+7

Nhà nghiên cứu bảo mật Jonathan Leitschuh vừa tiết lộ lỗ hổng zero-day nghiêm trọng trong ứng dụng hội nghị truyền hình Zoom trên máy Mac.

Theo Theverge, Leitschuh đã chứng minh rằng bất kỳ trang web nào cũng có thể mở một cuộc gọi kích hoạt video trên máy Mac với ứng dụng Zoom được cài đặt. Đó là vì ứng dụng Zoom dường như cài đặt một máy chủ web trên Mac chấp nhận các yêu cầu trình duyệt thông thường. Trên thực tế, nếu người dùng gỡ cài đặt Zoom thì máy chủ web vẫn tồn tại và có thể cài đặt lại Zoom mà không cần sự can thiệp của người dùng.
Sử dụng bản demo của Leitschuh, TheVerge đã xác nhận rằng lỗ hổng này thực sự đang hoạt động. Khi nhấp vào một liên kết nếu trước đó bạn đã cài đặt ứng dụng Zoom, nó sẽ đưa người dùng tự động tham gia cuộc gọi hội nghị truyền hình với máy ảnh trên thiết bị.
Leitschuh cho biết đã tiết lộ lỗ hổng cho Zoom vào cuối tháng 3 và cho công ty 90 ngày để giải quyết vấn đề. Tuy nhiên, Zoom dường như đã không làm hết trách nhiệm của mình để xử lý lỗi này. Lỗ hổng cũng được tiết lộ cho cả hai nhóm Chromium và Mozilla, nhưng vì nó không xuất phát từ trình duyệt của họ nên mọi thứ không thể xử lý được.
Báo cáo cho biết sự tồn tại của máy chủ web trên máy tính Mac là một vấn đề vô cùng nghiêm trọng cho người sử dụng. Ví dụ, nó có thể mở ra một cuộc tấn công từ chối dịch vụ trên máy Mac bằng cách liên tục ping máy chủ web.
Cũng theo Leitschuh, mọi người có thể tự vá lỗi này bằng cách đảm bảo ứng dụng Mac được cập nhật và vô hiệu hóa cài đặt cho phép Zoom bật máy ảnh khi tham gia cuộc họp. Lưu ý, gỡ cài đặt Zoom sẽ không chắc khắc phục được sự cố vì máy chủ web vẫn tồn tại trên máy Mac. Tắt máy chủ web yêu cầu chạy một số lệnh đầu cuối.
Hiện tại, Zoom cho biết máy chủ web là một giải pháp hợp pháp để đảm bảo trải nghiệm người dùng, cho phép họ có thể tham gia cuộc họp dễ dàng bằng thao tác nhấp chuột. Tuy nhiên, công ty cho biết sẽ bảo vệ người dùng trong bản vá lỗi tương lai, và những thay đổi sẽ được áp dụng trên tất cả nền tảng của họ. Bên cạnh đó, Zoom cũng loại bỏ khả năng tự động đưa người dùng tham gia cuộc gọi hội nghị truyền hình với máy ảnh trên thiết bị.
Top

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.