Zoom网络摄像头漏洞波及范围再扩大!这些软件也将受影响

创业点子 阅读(1325)
?

  猎云网2天前我要分享

  

[狩猎云] 7月16日报道(编译:宁萌)

最近,电话会议服务软件Zoom已经爆发了网络摄像头漏洞,似乎其影响范围不断扩大。在15日发布的一份报告中,安全研究员Karan Lyons表示,同样的漏洞也影响了RingCentral的注意力。 RingCentral目前拥有35万企业用户,重点基本上是中文版的Zoom。

此前,Hunting Cloud报告了Zoom安全漏洞:ZoomSpace版本的安全漏洞被曝光,恶意网站可能轻易劫持相机。

RingCentral和该项目都获得了Zoom技术的许可。里昂斯解释说:“如果生菜生产商爆发大肠杆菌爆发,那么所有那些在商店里以各种品牌转售生菜的人。或者在三明治中使用这种生菜的人很容易受到攻击。

他补充说:“在这个行业和其他行业,标签白标是一种相当普遍的做法。虽然它的优点很明显,但其中一个缺点是,如果白标供应商有问题,每个人都必须重新包装他们的产品。”/p>

RingCentral已发布针对MacOS应用程序用户的更新。该公司敦促所有用户接受更新以修复漏洞。 Lyons向媒体透露,尽管此更新删除了包含客户笔记本电脑漏洞的隐藏网络服务器,但卸载RingCentral应用程序的用户无法轻松删除隐藏服务器。 Lyons详细介绍了Github的技术补丁。目前,没有针对安全漏洞的补丁,该软件的最新更新于6月17日发布。

RingCentral发言人JyotsanaGrover说:“我们最近了解到RingCentral会议软件中的视频漏洞,我们已立即采取措施减轻这些漏洞对任何潜在客户的影响。”他补充说公司还不知道。任何客户都受此漏洞的影响。

7月10日,Apple发布了Mac计算机的自动更新,删除了隐藏的Zoom Web服务器,并保护用户免受漏洞攻击。此更新不会删除RingCentral或高端桌面应用程序安装的网络服务器。对于媒体的评论请求,Apple和该项目没有立即回应。

可以通过称为“自动连接”的缩放功能利用此漏洞。缩放用户可以通过单击唯一链接自动加入会议。该链接将提示Zoom应用程序打开并将用户加入会议。安全研究员Jonathan Leitschuh发现,所有网站中嵌入的短代码(iframe)也可以强制Zoom用户加入会议而不采取任何行动。一旦iframe嵌入完成加载,Zoom桌面应用程序将自动打开,“受害者”将进入会议(取决于他们的设置),他们的麦克风和摄像头将打开 - 所有这些都不需要他们做任何事情。

原因是第二个应用程序称为本地主机服务器,旨在在后台连续运行并自动安装在Zoom的桌面应用程序旁边。服务器“侦听”嵌入式iframe,或单击自动连接链接以提示Zoom桌面应用程序。 Zoom发言人表示,该服务器专为Safari12中的安全更改而设计,要求用户在每次会议前接受缩放。

7月9日,Zoom发布了一个补丁,可在Zoom桌面应用更新后从Mac中删除本地Web服务器,并允许用户手动卸载Zoom,或手动删除Web服务器。以前,在用户删除Zoom桌面应用程序后,Web服务器未卸载,而是保留在用户的计算机上。

收集报告投诉