Apple kompaniyasi Zoom’ning yashirin veb-serverini olib tashlaydigan yamoqni chiqardi.
Yangilanish macOS foydalanuvchilarini tajovuzkorlarga maqsadli tizimda ixtiyoriy kodni masofadan turib bajarish imkonini beruvchi Zoom’ning zaif komponentidan himoya qiladi. <br />
Apple jimgina macOS uchun yangilanishni chiqardi, u Zoom video konferentsiya xizmatining yashirin veb-serverini olib tashlaydi. Ilgari tadqiqotchi Jonatan Leytschuh Zoom’da tajovuzkorlarga veb-kamerani yoqish va Zoom video konferensiyasiga ruxsatisiz qo‘shilish imkonini beruvchi zaiflikni (CVE-2019–13450) oshkor qilgan edi. Zoom funksiyasi ilovani avtomatik ravishda faollashtirib, ishtirokchilarga brauzer taklifnomasi orqali videokonferensiyaga qo‘shilish imkonini berdi. Bu xususiyat HTTPS GET so’rovlari orqali buyruqlarni qabul qiladigan yashirin veb-server (port 19421) tomonidan nazorat qilingan. Brauzerda ochilgan har qanday veb-sayt server bilan o’zaro aloqada bo’lishi mumkin. Ushbu zaiflikdan foydalanish tajovuzkorlarga veb-kamera orqali foydalanuvchiga josuslik qilish yoki Mac-ni o’chirish imkonini berdi.
Yangilanish ilova oʻchirilgandan keyin tizimda qolgan yashirin Zoom veb-serverini olib tashlaydi. Yangilanish avtomatik ravishda o’rnatiladi va foydalanuvchi shovqinini talab qilmaydi.
