今日，安全研究員Jonathan Leitschuh公開披露了在Mac電腦上Zoom視頻會議應(yīng)用中出現(xiàn)的一個嚴(yán)重零日漏洞。他已經(jīng)證明，任何網(wǎng)站都可以在安裝了Zoom應(yīng)用的Mac電腦上打開視頻通話。

當(dāng)你在Mac上安裝Zoom應(yīng)用程序時，它還會安裝一個網(wǎng)絡(luò)服務(wù)器，這個服務(wù)器“接受普通瀏覽器不會接受的請求”。

因此，任何網(wǎng)站都可以“在未經(jīng)用戶許可的情況下，強行加入用戶的視頻呼叫，并激活他們的攝像機”。即便卸載了Zoom，網(wǎng)絡(luò)服務(wù)器仍會持續(xù)存在，并且可以在不需要用戶干預(yù)的情況下重新安裝Zoom。

此外，如果你曾經(jīng)安裝過Zoom客戶端，然后卸載它，那么你的設(shè)備上仍然有一個本地主機web服務(wù)器，它會很樂意地為你重新安裝Zoom客戶端，而不需要你進行任何用戶交互，只需要訪問一個網(wǎng)頁。這個重新安裝的“功能”至今仍在工作。

Twitter也有其他用戶報告了這個漏洞。

Leitschuh在3月份首次披露了該漏洞。然而直到現(xiàn)在，Zoom還是沒有解決這一問題。Chrome和Mozilla團隊也都發(fā)現(xiàn)了這個漏洞，但由于這不是其瀏覽器的問題，所以這些開發(fā)人員也無能為力。

此外，據(jù)Leitschuh說，Zoom缺乏“足夠的自動更新功能”，這意味著仍然有用戶在運行該應(yīng)用的舊版本。

那么用戶應(yīng)該如何保護自己呢?最簡單的方法是進入Zoom的設(shè)置窗口，啟用“參加會議時關(guān)閉視頻”設(shè)置。你還可以運行一系列終端命令來完全卸載web服務(wù)器。