ZOOM Zero Day :: Convenience vs Security

by Volker Weber

This vulnerability allows any website to forcibly join a user to a Zoom call, with their video camera activated, without the user's permission.

On top of this, this vulnerability would have allowed any webpage to DOS (Denial of Service) a Mac by repeatedly joining a user to an invalid call.

Additionally, if you’ve ever installed the Zoom client and then uninstalled it, you still have a localhost web server on your machine that will happily re-install the Zoom client for you, without requiring any user interaction on your behalf besides visiting a webpage. This re-install ‘feature’ continues to work to this day.

Gut gemeint ist das Gegenteil von gut gemacht.

More >

Comments

und ich hab mich schon gefragt wie die das hinbekommen, dass Zoom wirklich überall problemlos läuft, unabhängig von Betriebssystem, Browser, Firewall, Proxies oder lokalen IT Policies. Geht also wohl auf Kosten der Sicherheit...

siehe auch: https://techniktagebuch.tumblr.com/post/186052276052/zwischenstand-2019

Andreas Eldrich, 2019-07-09

Empfehlung (entdeckt alles - Cam, Mic):
https://objective-see.com/products/oversight.html

Thomas Odorfer, 2019-07-09

Andreas, ich halte Zoom nicht per se für unsicher. Die Einladung geht halt etwas zu weit.

Volker Weber, 2019-07-09

Und die Deinstallation geht dafür nicht weit genug - auch nix, das man nicht anderswo auch schon gesehen hat.

Ragnar Schierholz, 2019-07-09

Mac hat keine Deinstallation.

Volker Weber, 2019-07-09

Volker, eine Software, die wie Zoom ohne Ankündigung einen dauerhaften Serverdienst installiert, der von beliebigen Web-Seiten per URL mit Parametern angesprochen werden kann, ist per se unsicher.

Wenn diese Software fehlerhaft programmiert wird von einem Unternehmen, das nicht in der Lage ist, innerhalb von 100 Tagen schwere Bugs zu patchen, dann handelt es sich faktisch um Malware.

Chris Ferebee, 2019-07-09

Kann jemand einschätzen, ob dieser Fix hier ausreichend hilft? Habe es zumindest direkt mit CleanMyMac runtergeschmissen...

https://support.zoom.us/hc/en-us/articles/201361963-New-Updates-for-Mac-OS

Ingo Seifert, 2019-07-10

Ingo, der Webserver lebt in ~/.zoom – also im (unsichtbaren) Verzeichnis .zoom in Deinem Benutzerordner. Wenn Du das löschst, solltest Du ihn loswerden. Die „zap“ Abteilung dieser Prozedur führt die bekannten Komponenten auf: https://github.com/Homebrew/homebrew-cask/blob/7b1788d6e20471911094f0f2a857aac8e5c06d81/Casks/zoomus.rb

Chris Ferebee, 2019-07-10

Recent comments

Volker Jürgensen on Apple Music :: Stuff that works at 23:23
Hanno Zulla on Lenovo C340 Chromebook :: Erste Eindrücke at 23:05
Bernd Hofmann on Apple Music :: Stuff that works at 21:25
Jean-Marc Autexier on Lenovo C340 Chromebook :: Erste Eindrücke at 20:55
Volker Weber on Apple Music :: Stuff that works at 18:56
Bernd Hofmann on Apple Music :: Stuff that works at 18:33
Volker Weber on Lenovo C340 Chromebook :: Erste Eindrücke at 17:52
Johannes Neubrecht on Lenovo C340 Chromebook :: Erste Eindrücke at 17:47
Volker Weber on iPadOS :: Wie es jetzt weiter geht at 13:20
Gaerttner Harald on iPadOS :: Wie es jetzt weiter geht at 12:48
Matthias Welling on Apple Music :: Stuff that works at 10:20
Frank Quednau on Apple Music :: Stuff that works at 08:17
Volker Weber on Apple Music :: Stuff that works at 08:13
Dirk Steins on Apple Music :: Stuff that works at 08:10
Stephan Wissel on Apple Music :: Stuff that works at 08:01
Volker Jürgensen on Skyroam Solis X :: Funktioniert einfach at 14:37
Stephan Kopp on Skyroam Solis X :: Funktioniert einfach at 13:51
Adalbert Duda on iPadOS :: Wie es jetzt weiter geht at 10:18
Volker Weber on iPadOS :: Wie es jetzt weiter geht at 16:04
Moritz Petersen on iPadOS :: Wie es jetzt weiter geht at 15:35
Oliver Stör on iPadOS :: Wie es jetzt weiter geht at 13:44
Sami Bahri on iPadOS :: Wie es jetzt weiter geht at 13:18
Volker Jürgensen on iPadOS :: Wie es jetzt weiter geht at 13:06
Sascha Langfus on Laura und die Puppe :: Brauche Eure Unterstützung at 11:56
Volker Weber on iPadOS :: Wie es jetzt weiter geht at 10:51

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter  amazon

Local time is 23:34

visitors.gif

buy me coffee

Paypal vowe