缩放到可以访问Mac网络摄像头的修补漏洞

在Zoom官方博客的一篇文章中宣布，紧急安全补丁将删除该公司用来绕过Safari 12保护机制的本地Web服务器，并允许用户完全卸载该应用程序。

此举是Zoom的一个过程逆转，最近周二表示这两项行动都难以实施。Zoom之前为使用本地主机服务器辩护，以绕过内置的Safari安全协议，转而采用简化的用户体验。

Apple的最新Safari 12要求用户在网站或链接尝试启动外部应用时与对话框进行交互。Zoom以简化的用户体验和一键加入视频会议为荣，开发了一种创建本地主机服务器的解决方法，该服务器不断作为后台进程运行。

正如安全研究人员Jonathan Leitschuh所详述的，恶意网站可以利用本地网络服务器通过简单的启动操作或iframe漏洞触发视频通话，自动激活Mac的网络摄像头并在未经用户同意的情况下连接到会议。除非在软件的设置菜单中勾选“加入会议时关闭我的视频”选项，否则所有Zoom Mac客户端都无法通过Safari，Chrome和Firefox进行攻击。

除了授予可能不需要的网络摄像头访问权限外，即使卸载了Zoom，本地服务器仍保留在主机上，并且无需用户交互即可重新安装客户端应用程序。

Zoom最初表示不会删除服务器功能，但在其首席执行官Eric Yuan 周一与Leitschuh和Zoom社区的各个成员进行“派对聊天”讨论安全问题后，该公司似乎有了改变。通过Zoom进行的那次会议向所有人开放，可以通过安全研究人员原始报告中提供的概念证明链接进行访问。

除了删除本地主机服务器外，Zoom的Tuesday补丁还将包含一个菜单栏选项，可以完全卸载Mac客户端。周二早些时候，该公司表示它没有“简单的方法来帮助用户删除Zoom客户端以及启动我们客户端的Mac上的Zoom本地Web服务器应用程序”，说该过程必须通过终端手动完成。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！