Сервис Zoom экстренно закрыл уязвимость, позволяющую удалённо включать веб-камеры на macOS

Гендиректор компании извинился за то, что сервис сначала не посчитал уязвимость серьёзной.

Сервис для видеоконференций Zoom после огласки в СМИ выпустил патч против уязвимости, из-за которой злоумышленники могли удалённо получить доступ к веб-камерам пользователей программы. Об этом сказано в блоге компании.

Уязвимость в Zoom обнаружил исследователь в сфере кибербезопасности Джонатан Лейтшу, сообщив о ней компании в марте 2019 года. Сервис не посчитал это проблемой, связав её со своей «отличительной особенностью», позволяющей пользователям присоединятся к звонкам «в один клик». Позже Zoom лишь частично исправил её, введя возможность автоматического отключения веб-камеры при присоединении к звонкам.

После публикации статьи Лейтшу в СМИ сервис признал проблему, к обсуждению которой, по словам исследователя, подключился гендиректор Zoom Эрик Юань. Он сам проверил сервис на наличие уязвимости и принёс извинения за реакцию компании.

Патч, выпущенный компанией, полностью удаляет локальные веб-сервера на macOS, из-за которых владельцы вредоносных веб-сайтом могли принудительно запускать приложение видеосервиса с активированной камерой. До обновления сервера работали на компьютерах даже после удаления клиента Zoom.

Также патч включает в себя новую функцию, позволяющую пользователям полностью удалить Zoom (а также веб-сервер) с устройства. Сделать это можно в настройках программы.

Чтобы установить патч, пользователям необходимо обновить клиент Zoom.

#новость #zoom