Zoom網(wǎng)絡(luò)攝像頭漏洞波及范圍再擴(kuò)大!這些軟件也將受影響

近日,遠(yuǎn)程會議服務(wù)軟件Zoom被爆出了一個網(wǎng)絡(luò)攝像頭漏洞,現(xiàn)在看來,其影響范圍還在繼續(xù)擴(kuò)大。在15日發(fā)表的一份報告中,安全研究人員Karan Lyons表示,同樣的漏洞也影響到了RingCentral和矚目。RingCentral目前有35萬家企業(yè)用戶,而矚目基本上就是中國版的Zoom。

此前,獵云網(wǎng)對Zoom安全漏洞事件進(jìn)行了報道:Zoom Mac版安全漏洞曝光,惡意網(wǎng)站可輕松劫持?jǐn)z像頭。

RingCentral和矚目都許可Zoom的技術(shù)。Lyons解釋說:“如果一個生菜生產(chǎn)商爆發(fā)大腸桿菌疫情,那么所有在商店里以各種品牌轉(zhuǎn)售這種生菜的人,或者在三明治中使用這種生菜的人,都很容易受到攻擊?!?/p>

他補(bǔ)充說:“在這個行業(yè)和其他行業(yè),貼白色標(biāo)簽是一種相當(dāng)普遍的做法。雖然它優(yōu)點明顯,但缺點之一是,如果一個白色標(biāo)簽供應(yīng)商出了問題,每個人都要重新包裝他們的產(chǎn)品?!?/p>

RingCentral發(fā)布了針對MacOS應(yīng)用程序用戶的更新。該公司敦促所有用戶接受修復(fù)該漏洞的更新。Lyons向媒體透露,雖然這次更新從客戶的筆記本電腦上刪除了一個包含漏洞的隱藏網(wǎng)絡(luò)服務(wù)器,但對于卸載了RingCentral應(yīng)用程序的用戶來說,他們沒有辦法輕松刪除這個隱藏的服務(wù)器。Lyons詳細(xì)介紹了Github的一個技術(shù)補(bǔ)丁。目前,矚目還沒有發(fā)布安全漏洞的補(bǔ)丁,該軟件的最新更新是在6月17日發(fā)布的。

RingCentral發(fā)言人Jyotsana Grover表示:“我們最近了解到RingCentral會議軟件存在視頻漏洞,我們已經(jīng)立即采取措施,為任何可能受到影響的客戶減輕這些漏洞帶來的影響?!彼€補(bǔ)充說,公司目前尚不知道有任何客戶受到這一漏洞的影響。

7月10日,蘋果發(fā)布了針對Mac電腦的自動更新,刪除了隱藏的Zoom網(wǎng)絡(luò)服務(wù)器,并保護(hù)用戶免受該漏洞的攻擊。該更新不會刪除RingCentral或矚目的桌面應(yīng)用程序安裝的網(wǎng)絡(luò)服務(wù)器。對于媒體的置評請求,蘋果和矚目沒有立即回應(yīng)。

這一漏洞可以通過一種名為“自動連接”的Zoom功能加以利用。Zoom用戶可以點擊一個獨特的鏈接自動加入會議。該鏈接將提示Zoom應(yīng)用程序打開,并將用戶加入會議。安全研究人員Jonathan Leitschuh發(fā)現(xiàn),嵌入所有網(wǎng)站的短行代碼(iframe)也可以強(qiáng)迫Zoom用戶在不需要采取任何行動的情況下將其加入會議中。一旦iframe嵌入完成加載,Zoom桌面應(yīng)用程序?qū)⒆詣哟蜷_,“受害者”將進(jìn)入一個會議(取決于他們的設(shè)置),他們的麥克風(fēng)和攝像頭將打開——所有這些都不需要他們做任何動作。

其原因在于,第二個名為本地主機(jī)服務(wù)器的應(yīng)用程序被設(shè)計成在后臺持續(xù)運行,并自動安裝在Zoom的桌面應(yīng)用程序旁邊。該服務(wù)器為嵌入的iframe 進(jìn)行“偵聽”或單擊自動連接鏈接,以提示打開Zoom桌面應(yīng)用程序。Zoom發(fā)言人表示,這款服務(wù)器是為Safari 12的一項安全修改而設(shè)計的,它要求用戶在每次會議之前接受啟動Zoom。

7月9日,Zoom發(fā)布了一個補(bǔ)丁,可以在Zoom桌面應(yīng)用程序更新后從Mac電腦上移除本地網(wǎng)絡(luò)服務(wù)器,并允許用戶手動卸載Zoom, 當(dāng)然也可以手動移除網(wǎng)絡(luò)服務(wù)器。之前,用戶在刪除Zoom桌面應(yīng)用程序后,網(wǎng)絡(luò)服務(wù)器并沒有卸載,而是繼續(xù)保留在用戶電腦上。

AD:還在為資金緊張煩惱嗎?獵云銀企貸,全面覆蓋京津冀地區(qū)主流銀行及信托、擔(dān)保公司,幫您細(xì)致梳理企業(yè)融資問題,統(tǒng)籌規(guī)劃融資思路,合理撬動更大杠桿。填寫只需兩分鐘,剩下交給我們! (來源:獵云網(wǎng))

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2019-07-16
Zoom網(wǎng)絡(luò)攝像頭漏洞波及范圍再擴(kuò)大!這些軟件也將受影響
這一漏洞會讓攻擊者很容易就能訪問筆記本電腦攝像頭和麥克風(fēng)。

長按掃碼 閱讀全文