Zoom se esfuerza por solucionar la vulnerabilidad de las conferencias

Siéntese en una silla cómoda; Se permiten descansos con paños fríos. Esta es una de esas historias de día cero con descubrimientos, respuestas, descubrimientos aún más recientes y actualizaciones variadas.

Una alarma de falla de seguridad el lunes, 8 de julio sonaba sobre conferencias. "Este es esencialmente un día cero, ", dijo el ingeniero de software que lo detectó. CNET dijo que la falla de seguridad era importante; estaba en una aplicación de videoconferencia que podía permitir que los sitios web se unieran a usted en videollamadas sin su permiso.

Daniel Van Boom de CNET, con sede en Australia, informó que el investigador de seguridad que descubrió todo esto fue Jonathan Leitschuh, un ingeniero de software, que se había convertido en una publicación en Medio para explicar lo que encontró.

Esto involucró la aplicación Mac de Zoom. Tiene una función de clic para unirse, dijo CNET, "donde al hacer clic en el enlace de un navegador lo lleva directamente a una videoconferencia en la aplicación de Zoom".

Qué simple:"Unirse a una llamada es particularmente fácil; con solo hacer clic en la URL de una reunión, la página inicia automáticamente la aplicación de escritorio, y estás dentro "dijo Lily Hay Newman en Cableado .

Aqui esta el problema. Esta vulnerabilidad "habría permitido que cualquier página web pudiera acceder a DOS (Denegación de servicio) a una Mac al unir repetidamente a un usuario a una llamada no válida".

Fácil de arreglar por su cuenta, ¿Derecha? Simplemente desinstale Zoom. Eso no fue tan simple.

"Si alguna vez instaló el cliente Zoom y luego lo desinstaló, todavía tiene un servidor web localhost en su máquina que felizmente reinstalará el cliente Zoom por usted, "Leitschuh había dicho, "sin requerir ninguna interacción del usuario en su nombre además de visitar una página web".

Al 9 de julio, y antes de la gran solución, varios críticos habían comentado que no se sentían cómodos con el uso de Zoom de un servidor web local en computadoras Mac. Cableado :"Zoom configura un servidor web local en la Mac de cada usuario que permite que las URL de llamada inicien automáticamente la aplicación de escritorio. Zoom dice que esta configuración está implementada como una 'solución' a una función de Safari 12 que requeriría que los usuarios aprobaran Zoom que se inicia cada vez que hacen clic en un enlace de llamada ".

Y, más allá de Zoom y Leitschuh, Cableado llevó comentarios de Thomas Reed, un especialista en investigación de Mac en la empresa de seguridad Malwarebytes. "El servidor web local es, sinceramente, la parte más preocupante, y no está arreglado, "dijo Reed." El servidor web es preocupante, debido a la posibilidad de que alguien pueda encontrar una manera de usarlo de forma remota para activar la ejecución remota de código ".

CNET a partir del lunes, 8 de julio reportó que, "Con respecto a un posible ataque de denegación de servicio, Zoom dice que no tiene constancia de que se haya explotado tal debilidad, y dice que solucionó esa falla de seguridad en mayo ".

(Zoom corrigió este problema de DoS en una actualización de mayo. El blog de Zoom había declarado que lanzaron una solución para esto en mayo de 2019, "aunque no obligamos a nuestros usuarios a actualizar porque es empíricamente una vulnerabilidad de bajo riesgo").

¿Cuáles han sido las respuestas de Zoom a partir de ahora? 9 de julio? Cuando llueve diluvia.

Más tarde esa tarde, 9 de julio El borde titulado "Zoom corrige los principales fallos de seguridad de las cámaras web de Mac con un parche de emergencia" y "La empresa ahora está eliminando los servidores web locales de Mac".

Cableado publicó otro artículo de actualización el 9 de julio más tarde en el día que decía "DESPUÉS DE DECIR INICIALMENTE que no emitiría una solución completa para una vulnerabilidad revelada el lunes, el servicio de videoconferencia Zoom ha cambiado de rumbo. La compañía ahora le dice a WIRED que lanzará un parche el martes para alterar la funcionalidad de Zoom y eliminar el error. Deberías actualizar Zoom ahora ".

Al blog de Zoom, donde las actualizaciones del 9 de julio tenían esto que decir:

"[ACTUALIZACIÓN 2:35 p.m. PT, Martes 9 de julio] El parche del 9 de julio para la aplicación Zoom en dispositivos Mac que se detalla a continuación ya está disponible. Es posible que vea una ventana emergente en Zoom para actualizar su cliente, descárguelo en zoom.us/download, o busque actualizaciones abriendo la ventana de la aplicación Zoom, haciendo clic en zoom.us en la esquina superior izquierda de su pantalla, y luego haga clic en Buscar actualizaciones ".

Zoom finalmente escuchó, y respondió, al "clamor".

"[ACTUALIZADO 1:15 p.m. PT, Martes 9/7] Agradecemos el arduo trabajo del investigador de seguridad en la identificación de problemas de seguridad en nuestra plataforma. Inicialmente, No vimos el servidor web o la postura del video como riesgos significativos para nuestros clientes y, De hecho, consideró que estos eran esenciales para nuestro proceso de unión sin problemas. Pero al escuchar las protestas de nuestros usuarios en las últimas 24 horas, hemos decidido hacer las actualizaciones a nuestro servicio ".

En el momento de escribir este artículo) esta era la actualización en Medio de Leitschuh:"ACTUALIZACIÓN:9 de julio (p. m.). Según Zoom, tendrán una solución enviada antes de la medianoche de esta noche, hora del Pacífico, eliminando el servidor web oculto; Con suerte, esto corrige las partes más evidentes de esta vulnerabilidad. El CEO de Zoom también nos ha asegurado que actualizarán su aplicación para proteger aún más la privacidad de los usuarios ".

El nuevo filtro mejora la visión del robot en la estimación de pose 6-D

Usando inteligencia artificial para detectar discriminación

Electrónica