Zoom網(wǎng)絡(luò)攝像頭漏洞波及范圍再擴大！這些軟件也將受影響

近日，遠程會議服務(wù)軟件Zoom被爆出了一個網(wǎng)絡(luò)攝像頭漏洞，現(xiàn)在看來，其影響范圍還在繼續(xù)擴大。在15日發(fā)表的一份報告中，安全研究人員Karan Lyons表示，同樣的漏洞也影響到了RingCentral和矚目。RingCentral目前有35萬家企業(yè)用戶，而矚目基本上就是中國版的Zoom。

此前，獵云網(wǎng)對Zoom安全漏洞事件進行了報道：Zoom Mac版安全漏洞曝光，惡意網(wǎng)站可輕松劫持攝像頭。

RingCentral和矚目都許可Zoom的技術(shù)。Lyons解釋說：“如果一個生菜生產(chǎn)商爆發(fā)大腸桿菌疫情，那么所有在商店里以各種品牌轉(zhuǎn)售這種生菜的人，或者在三明治中使用這種生菜的人，都很容易受到攻擊?！?/p>

他補充說：“在這個行業(yè)和其他行業(yè)，貼白色標簽是一種相當普遍的做法。雖然它優(yōu)點明顯，但缺點之一是，如果一個白色標簽供應(yīng)商出了問題，每個人都要重新包裝他們的產(chǎn)品?！?/p>

RingCentral發(fā)布了針對MacOS應(yīng)用程序用戶的更新。該公司敦促所有用戶接受修復(fù)該漏洞的更新。Lyons向媒體透露，雖然這次更新從客戶的筆記本電腦上刪除了一個包含漏洞的隱藏網(wǎng)絡(luò)服務(wù)器，但對于卸載了RingCentral應(yīng)用程序的用戶來說，他們沒有辦法輕松刪除這個隱藏的服務(wù)器。Lyons詳細介紹了Github的一個技術(shù)補丁。目前，矚目還沒有發(fā)布安全漏洞的補丁，該軟件的最新更新是在6月17日發(fā)布的。

RingCentral發(fā)言人Jyotsana Grover表示：“我們最近了解到RingCentral會議軟件存在視頻漏洞，我們已經(jīng)立即采取措施，為任何可能受到影響的客戶減輕這些漏洞帶來的影響?！彼€補充說，公司目前尚不知道有任何客戶受到這一漏洞的影響。

7月10日，蘋果發(fā)布了針對Mac電腦的自動更新，刪除了隱藏的Zoom網(wǎng)絡(luò)服務(wù)器，并保護用戶免受該漏洞的攻擊。該更新不會刪除RingCentral或矚目的桌面應(yīng)用程序安裝的網(wǎng)絡(luò)服務(wù)器。對于媒體的置評請求，蘋果和矚目沒有立即回應(yīng)。

這一漏洞可以通過一種名為“自動連接”的Zoom功能加以利用。Zoom用戶可以點擊一個獨特的鏈接自動加入會議。該鏈接將提示Zoom應(yīng)用程序打開，并將用戶加入會議。安全研究人員Jonathan Leitschuh發(fā)現(xiàn)，嵌入所有網(wǎng)站的短行代碼（iframe）也可以強迫Zoom用戶在不需要采取任何行動的情況下將其加入會議中。一旦iframe嵌入完成加載，Zoom桌面應(yīng)用程序?qū)⒆詣哟蜷_，“受害者”將進入一個會議（取決于他們的設(shè)置），他們的麥克風和攝像頭將打開——所有這些都不需要他們做任何動作。

其原因在于，第二個名為本地主機服務(wù)器的應(yīng)用程序被設(shè)計成在后臺持續(xù)運行，并自動安裝在Zoom的桌面應(yīng)用程序旁邊。該服務(wù)器為嵌入的iframe 進行“偵聽”或單擊自動連接鏈接，以提示打開Zoom桌面應(yīng)用程序。Zoom發(fā)言人表示，這款服務(wù)器是為Safari 12的一項安全修改而設(shè)計的，它要求用戶在每次會議之前接受啟動Zoom。

7月9日，Zoom發(fā)布了一個補丁，可以在Zoom桌面應(yīng)用程序更新后從Mac電腦上移除本地網(wǎng)絡(luò)服務(wù)器，并允許用戶手動卸載Zoom, 當然也可以手動移除網(wǎng)絡(luò)服務(wù)器。之前，用戶在刪除Zoom桌面應(yīng)用程序后，網(wǎng)絡(luò)服務(wù)器并沒有卸載，而是繼續(xù)保留在用戶電腦上。

AD：還在為資金緊張煩惱嗎？獵云銀企貸，全面覆蓋京津冀地區(qū)主流銀行及信托、擔保公司，幫您細致梳理企業(yè)融資問題，統(tǒng)籌規(guī)劃融資思路，合理撬動更大杠桿。填寫只需兩分鐘，剩下交給我們！ (來源：獵云網(wǎng))

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。