Apple在隱形Mac更新中刪除了Zoom Web服務(wù)器

Apple周三推出了一項(xiàng)針對(duì)Mac用戶的自動(dòng)更新，刪除了由視頻會(huì)議應(yīng)用Zoom創(chuàng)建的本地主機(jī)服務(wù)器，保護(hù)用戶免受不必要的網(wǎng)絡(luò)攝像頭訪問(wèn)威脅。

根據(jù)Apple的說(shuō)法，無(wú)聲更新使所有Zoom用戶免受最近發(fā)現(xiàn)的Web服務(wù)器漏洞的影響，而不會(huì)影響應(yīng)用程序本身的運(yùn)行，TechCrunch報(bào)道。

早期版本的Zoom安裝了本地主機(jī)Web服務(wù)器，以繞過(guò)作為Safari 12的一部分部署的安全協(xié)議。

為了保護(hù)用戶免受惡意攻擊者的攻擊，Apple的Web瀏覽器需要在網(wǎng)站或鏈接嘗試啟動(dòng)外部時(shí)與對(duì)話框進(jìn)行交互應(yīng)用程序。為了尋求簡(jiǎn)化的一鍵打開用戶體驗(yàn)，Zoom試圖繞過(guò)Safari功能，并在其Mac客戶端軟件包中安靜地構(gòu)建了本地Web服務(wù)器。

Zoom的實(shí)施中的一個(gè)缺陷使應(yīng)用程序離開了，隨后所有安裝該軟件的Mac用戶都可以進(jìn)行攻擊。

安全研究員Jonathan Leitschuh本周詳細(xì)介紹了零日披露中的漏洞。Leitschuh發(fā)現(xiàn)，將簡(jiǎn)單的啟動(dòng)操作或iframe嵌入到網(wǎng)站中會(huì)自動(dòng)將用戶放入啟用Mac的網(wǎng)絡(luò)攝像頭的Zoom會(huì)議中。由于該漏洞存在于Web服務(wù)器中并且未被應(yīng)用于應(yīng)用程序，因此該攻擊不僅在Safari中有效，而且在Chrome和Firefox中也是如此。

此外，即使卸載了Zoom并且能夠在沒(méi)有用戶交互的情況下重新安裝客戶端應(yīng)用程序，Web服務(wù)器仍將保留在主機(jī)Mac上。

根據(jù)Leitschuh的報(bào)告，以及來(lái)自媒體機(jī)構(gòu)的密切關(guān)注，Zoom決定在星期二的緊急更新中修補(bǔ)漏洞。作為更新的一部分，Zoom承諾刪除本地主機(jī)服務(wù)器，并提供一個(gè)選項(xiàng)，以完全卸載應(yīng)用程序的所有殘余，而無(wú)需通過(guò)終端。

Apple周三選擇通過(guò)自己的工具刪除服務(wù)器。根據(jù)該報(bào)告，顯然已經(jīng)將Zoom更新通知了Mac更新。

“我們很高興與App??le合作測(cè)試此更新。我們預(yù)計(jì)今天將解決網(wǎng)絡(luò)服務(wù)器問(wèn)題，”Zoom發(fā)言人Priscilla McCarthy告訴TechCrunch。“我們感謝用戶的耐心，因?yàn)槲覀儗⒗^續(xù)努力解決他們的問(wèn)題。”

Apple通常會(huì)保留靜默的自動(dòng)Mac操作系統(tǒng)更新，以解決嚴(yán)重的惡意軟件問(wèn)題或以其他方式增強(qiáng)用戶安全性 該機(jī)制很少部署為針對(duì)特定的第三方應(yīng)用程序，但該公司告知TechCrunch這個(gè)特定的修復(fù)程序是為了保護(hù)用戶免受Zoom公開的Web服務(wù)器的攻擊。