ZOOM应用被曝严重安全漏洞 任何网站可劫持Mac摄像头

众所周知Zoom 是一款能够支持多人高清视频会话的应用，在生活中使用频率也较高，但最近ZOOM被爆存在严重的安全漏洞问题。

7月9号，安全研究员Jonathan Leitschuh公开披露了Mac上Zoom视频会议应用程序的一个严重的zero-day漏洞。他已经证明任何网站都可以在安装了Zoom应用程序的Mac上打开视频通话。这可能是因为Zoom应用程序在Mac上安装了一个Web服务器，接受普通浏览器不会的请求。事实上，如果您卸载Zoom，该Web服务器仍然存在，并且可以在没有您干预的情况下重新安装Zoom。

根据Leitschuh的演示，我们已经确认该漏洞有效 。如果您之前已安装了Zoom应用程序（并且未在设置中选中某个复选框），则单击链接将自动打开您的相机进入电话会议。Leitschuh详细说明了他如何负责任地披露了3月下旬缩小版的漏洞，给公司90天的时间来解决问题。根据Leitschuh的说法，Zoom似乎没有给出解决问题的方法。该漏洞也向Chromium和Mozilla团队披露，但由于它们的浏览器存在问题，因此研发人员无法做到这一点

打开相机已经够糟糕了，但是计算机上存在的Web服务器还可能会给Mac用户带来更多重大问题。例如，在较旧版本的Zoom（自打补丁）后，可以通过不断ping网络服务器在Mac上实施拒绝服务攻击：“通过简单地发送重复的GET请求来查找错误的数字，Zoom应用程序会不断请求来自操作系统的“关注”，“Leitschuh写道。

您可以通过确保Mac应用程序是最新的并且还禁用允许Zoom在加入会议时打开相机的设置来自行“修补”相机问题，如下图所示。同样，只卸载Zoom无法解决此问题，因为该Web服务器在Mac上仍然存在。关闭Web服务器需要运行一些终端命令，这些命令可以在Medium帖子的底部找到。