ZOOM Zero Day :: Convenience vs Security

by Volker Weber

This vulnerability allows any website to forcibly join a user to a Zoom call, with their video camera activated, without the user's permission.

On top of this, this vulnerability would have allowed any webpage to DOS (Denial of Service) a Mac by repeatedly joining a user to an invalid call.

Additionally, if you’ve ever installed the Zoom client and then uninstalled it, you still have a localhost web server on your machine that will happily re-install the Zoom client for you, without requiring any user interaction on your behalf besides visiting a webpage. This re-install ‘feature’ continues to work to this day.

Gut gemeint ist das Gegenteil von gut gemacht.

More >

Comments

und ich hab mich schon gefragt wie die das hinbekommen, dass Zoom wirklich überall problemlos läuft, unabhängig von Betriebssystem, Browser, Firewall, Proxies oder lokalen IT Policies. Geht also wohl auf Kosten der Sicherheit...

siehe auch: https://techniktagebuch.tumblr.com/post/186052276052/zwischenstand-2019

Andreas Eldrich, 2019-07-09

Empfehlung (entdeckt alles - Cam, Mic):
https://objective-see.com/products/oversight.html

Thomas Odorfer, 2019-07-09

Andreas, ich halte Zoom nicht per se für unsicher. Die Einladung geht halt etwas zu weit.

Volker Weber, 2019-07-09

Und die Deinstallation geht dafür nicht weit genug - auch nix, das man nicht anderswo auch schon gesehen hat.

Ragnar Schierholz, 2019-07-09

Mac hat keine Deinstallation.

Volker Weber, 2019-07-09

Volker, eine Software, die wie Zoom ohne Ankündigung einen dauerhaften Serverdienst installiert, der von beliebigen Web-Seiten per URL mit Parametern angesprochen werden kann, ist per se unsicher.

Wenn diese Software fehlerhaft programmiert wird von einem Unternehmen, das nicht in der Lage ist, innerhalb von 100 Tagen schwere Bugs zu patchen, dann handelt es sich faktisch um Malware.

Chris Ferebee, 2019-07-09

Kann jemand einschätzen, ob dieser Fix hier ausreichend hilft? Habe es zumindest direkt mit CleanMyMac runtergeschmissen...

https://support.zoom.us/hc/en-us/articles/201361963-New-Updates-for-Mac-OS

Ingo Seifert, 2019-07-10

Ingo, der Webserver lebt in ~/.zoom – also im (unsichtbaren) Verzeichnis .zoom in Deinem Benutzerordner. Wenn Du das löschst, solltest Du ihn loswerden. Die „zap“ Abteilung dieser Prozedur führt die bekannten Komponenten auf: https://github.com/Homebrew/homebrew-cask/blob/7b1788d6e20471911094f0f2a857aac8e5c06d81/Casks/zoomus.rb

Chris Ferebee, 2019-07-10

Recent comments

Jochen Kattoll on Bill Gates predicted the Coronavirus epidemic in 2015 at 22:19
Henrik Müller on Bill Gates predicted the Coronavirus epidemic in 2015 at 20:22
Patrick Steiner on Blutdruck messen mit Withings BPM Connect at 18:30
Patrick Bohr on Blutdruck messen mit Withings BPM Connect at 11:33
Bernd Waterkamp on Blutdruck messen mit Withings BPM Connect at 11:15
Detlev Poettgen on Urbandoo :: Jetzt reservieren at 11:02
Volker Weber on Blutdruck messen mit Withings BPM Connect at 09:30
Volker Weber on Blutdruck messen mit Withings BPM Connect at 09:24
Tim Pistor on Blutdruck messen mit Withings BPM Connect at 09:19
Ragnar Schierholz on Blutdruck messen mit Withings BPM Connect at 08:47
Patrick Steiner on Blutdruck messen mit Withings BPM Connect at 07:17
Hubert Stettner on Blutdruck messen mit Withings BPM Connect at 21:06
Volker Weber on Urbandoo :: Jetzt reservieren at 21:05
Volker Weber on Urbandoo :: Jetzt reservieren at 19:37
Michael Oehme on Urbandoo :: Jetzt reservieren at 19:34
Michael Oehme on Urbandoo :: Jetzt reservieren at 19:33
Jörg Richter on Logitech Zubehör für das Homeoffice at 14:07
Henning Heinz on Warum tragen Asiaten Masken, und Deutsche nicht :: Eigentlich ganz einfach at 11:38
Roland Dressler on Warum tragen Asiaten Masken, und Deutsche nicht :: Eigentlich ganz einfach at 10:00
Torsten Hoffmann on Hey Siri, Staubsauger! at 09:23
Volker Weber on Hey Siri, Staubsauger! at 09:10
Torsten Hoffmann on Hey Siri, Staubsauger! at 09:02
Lucius Bobikiewicz on Warum tragen Asiaten Masken, und Deutsche nicht :: Eigentlich ganz einfach at 23:02
Volker Neumann on Urbandoo :: Jetzt reservieren at 21:17
Hynek Kobelka on Warum tragen Asiaten Masken, und Deutsche nicht :: Eigentlich ganz einfach at 21:15

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter  amazon

Local time is 09:48

visitors.gif

Paypal vowe