ZOOM Zero Day :: Convenience vs Security

by Volker Weber

This vulnerability allows any website to forcibly join a user to a Zoom call, with their video camera activated, without the user's permission.

On top of this, this vulnerability would have allowed any webpage to DOS (Denial of Service) a Mac by repeatedly joining a user to an invalid call.

Additionally, if you’ve ever installed the Zoom client and then uninstalled it, you still have a localhost web server on your machine that will happily re-install the Zoom client for you, without requiring any user interaction on your behalf besides visiting a webpage. This re-install ‘feature’ continues to work to this day.

Gut gemeint ist das Gegenteil von gut gemacht.

More >

Comments

und ich hab mich schon gefragt wie die das hinbekommen, dass Zoom wirklich überall problemlos läuft, unabhängig von Betriebssystem, Browser, Firewall, Proxies oder lokalen IT Policies. Geht also wohl auf Kosten der Sicherheit...

siehe auch: https://techniktagebuch.tumblr.com/post/186052276052/zwischenstand-2019

Andreas Eldrich, 2019-07-09

Empfehlung (entdeckt alles - Cam, Mic):
https://objective-see.com/products/oversight.html

Thomas Odorfer, 2019-07-09

Andreas, ich halte Zoom nicht per se für unsicher. Die Einladung geht halt etwas zu weit.

Volker Weber, 2019-07-09

Und die Deinstallation geht dafür nicht weit genug - auch nix, das man nicht anderswo auch schon gesehen hat.

Ragnar Schierholz, 2019-07-09

Mac hat keine Deinstallation.

Volker Weber, 2019-07-09

Volker, eine Software, die wie Zoom ohne Ankündigung einen dauerhaften Serverdienst installiert, der von beliebigen Web-Seiten per URL mit Parametern angesprochen werden kann, ist per se unsicher.

Wenn diese Software fehlerhaft programmiert wird von einem Unternehmen, das nicht in der Lage ist, innerhalb von 100 Tagen schwere Bugs zu patchen, dann handelt es sich faktisch um Malware.

Chris Ferebee, 2019-07-09

Kann jemand einschätzen, ob dieser Fix hier ausreichend hilft? Habe es zumindest direkt mit CleanMyMac runtergeschmissen...

https://support.zoom.us/hc/en-us/articles/201361963-New-Updates-for-Mac-OS

Ingo Seifert, 2019-07-10

Ingo, der Webserver lebt in ~/.zoom – also im (unsichtbaren) Verzeichnis .zoom in Deinem Benutzerordner. Wenn Du das löschst, solltest Du ihn loswerden. Die „zap“ Abteilung dieser Prozedur führt die bekannten Komponenten auf: https://github.com/Homebrew/homebrew-cask/blob/7b1788d6e20471911094f0f2a857aac8e5c06d81/Casks/zoomus.rb

Chris Ferebee, 2019-07-10

Post a comment

Store next two fields in a cookie for you?




Use your full name and a working email address. Unless you want your comment to be removed. No kidding.

Recent comments

Armin Auth on Lenovo Thinkbook :: Review eines Nutzers at 12:04
Jan Piotrowski on Lenovo Thinkbook :: Review eines Nutzers at 11:08
Volker Weber on And the winner is ... HomePod at 09:22
Armin Roth on And the winner is ... HomePod at 09:21
Stefan Funke on ThinkPad X1 Yoga in der vierten Generation at 08:55
Jens Becker on From my inbox at 06:46
Stefan Heinz on From my inbox at 04:00
Volker Weber on Lenovo Yoga C930 :: Dieser PC wird zurückgesetzt at 16:48
Reinhard Fellner on Lenovo Yoga C930 :: Dieser PC wird zurückgesetzt at 16:39
Craig Wiseman on Gadget Reviewers vs Regular People at 14:56
Volker Weber on Neato Botvac D7 Connected :: Houston, wir haben ein Problem at 09:31
Patrick Bohr on Neato Botvac D7 Connected :: Houston, wir haben ein Problem at 09:06
Oliver Heinz on Amazon Prime Days :: Angebote nur für Prime-Kunden at 03:09
Kai Schmalenbach on Zwei Reaktionen at 15:23
Kristian Raue on Microsoft Surface Pen Stiftspitzen-Kit :: Ausprobiert at 23:10
Thomas Langel on Apple streicht alte MacBooks und senkt die Einstiegspreise :: Meine Alternative at 21:41
Dexter Ian on Android oder iPhone kaufen? Eine Antwort in 2500 Zeichen. at 16:57
Volker Weber on Android oder iPhone kaufen? Eine Antwort in 2500 Zeichen. at 14:01
Christoph Dierker on Android oder iPhone kaufen? Eine Antwort in 2500 Zeichen. at 14:00
Volker Weber on Herr Lampe hat mir ein altes Bild geschickt #dontbreakthechain at 10:46
Ingo Seifert on Herr Lampe hat mir ein altes Bild geschickt #dontbreakthechain at 10:03
Volker Weber on How do you uninstall software from your Mac? at 09:34
Sascha A. Carlin on How do you uninstall software from your Mac? at 09:26
Volker Weber on ThinkPad X1 Yoga in der vierten Generation at 08:34
Stefan Funke on ThinkPad X1 Yoga in der vierten Generation at 07:16

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter  amazon

Local time is 12:55

visitors.gif

buy me coffee

Paypal vowe