苹果本周为Mac用户推送了一项静默更新,删除了热门视频会议应用Zoom中一个易受攻击的组件,该组件允许网站在没有获得用户许可的情况下自动将用户添加到视频通话中。
苹果对TechCrunch表示,目前已发布的这项更新移除了隐藏的网络服务器。此前,当用户安装Zoom应用时,Zoom会将这个网络服务器悄悄安装在用户的Mac电脑上。
苹果表示,这项更新不需要任何用户操作,会自动完成。
乔纳森·莱特舒赫(Jonathan Leitschuh)周一公布了这个漏洞,随后Zoom遭到了激烈批评。莱特舒赫表示,“任何网站都可以在没有获得用户许可的情况下,激活摄像头,将用户强行加入到Zoom通话中”。即使用户卸载Zoom,这个未被记录的网络服务器仍保持在安装状态。这使得Zoom可以在不需要任何用户交互的情况下重新安装应用。
他同时还发布了一个概念验证页面,以证明该漏洞。
本周二,Zoom发布了新版本应用,修复该漏洞,但苹果表示,该公司的做法可以保护以往和现在的用户不受该服务器漏洞的影响,同时也不会影响或妨碍Zoom本身的功能。
现在,如果用户想要打开Zoom应用,那么这项更新将发出提示。以往,应用会自动打开。
苹果经常对Mac进行静默更新,拦截已知的恶意软件,这类似于反恶意软件的服务。不过,苹果很少公开对热门应用采取行动。该公司表示,推送更新是为了保护用户免受服务器漏洞带来的风险。
Zoom发言人普里西拉·麦卡锡(Priscilla McCarthy)表示:“我们很高兴与苹果合作测试这个更新。我们预计网页服务器问题今天将会得到解决。我们正继续解决用户关切的问题,并感谢用户的耐心。”
目前全球75万家公司有400多万用户使用Zoom进行视频会议。
声明:本文来自TechCrunch中文版,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
