今日，安全研究員Jonathan Leitschuh公開披露了在Mac電腦上Zoom視頻會(huì)議應(yīng)用中出現(xiàn)的一個(gè)嚴(yán)重零日漏洞。他已經(jīng)證明，任何網(wǎng)站都可以在安裝了Zoom應(yīng)用的Mac電腦上打開視頻通話。

當(dāng)你在Mac上安裝Zoom應(yīng)用程序時(shí)，它還會(huì)安裝一個(gè)網(wǎng)絡(luò)服務(wù)器，這個(gè)服務(wù)器“接受普通瀏覽器不會(huì)接受的請(qǐng)求”。

因此，任何網(wǎng)站都可以“在未經(jīng)用戶許可的情況下，強(qiáng)行加入用戶的視頻呼叫，并激活他們的攝像機(jī)”。即便卸載了Zoom，網(wǎng)絡(luò)服務(wù)器仍會(huì)持續(xù)存在，并且可以在不需要用戶干預(yù)的情況下重新安裝Zoom。

此外，如果你曾經(jīng)安裝過Zoom客戶端，然后卸載它，那么你的設(shè)備上仍然有一個(gè)本地主機(jī)web服務(wù)器，它會(huì)很樂意地為你重新安裝Zoom客戶端，而不需要你進(jìn)行任何用戶交互，只需要訪問一個(gè)網(wǎng)頁。這個(gè)重新安裝的“功能”至今仍在工作。

Twitter也有其他用戶報(bào)告了這個(gè)漏洞。

Leitschuh在3月份首次披露了該漏洞。然而直到現(xiàn)在，Zoom還是沒有解決這一問題。Chrome和Mozilla團(tuán)隊(duì)也都發(fā)現(xiàn)了這個(gè)漏洞，但由于這不是其瀏覽器的問題，所以這些開發(fā)人員也無能為力。

此外，據(jù)Leitschuh說，Zoom缺乏“足夠的自動(dòng)更新功能”，這意味著仍然有用戶在運(yùn)行該應(yīng)用的舊版本。

那么用戶應(yīng)該如何保護(hù)自己呢?最簡單的方法是進(jìn)入Zoom的設(shè)置窗口，啟用“參加會(huì)議時(shí)關(guān)閉視頻”設(shè)置。你還可以運(yùn)行一系列終端命令來完全卸載web服務(wù)器。