Zoom Mac版被曝存在零日漏洞：恶意网站可轻松劫持Mac摄像头

今日，安全研究员Jonathan Leitschuh公开披露了在Mac电脑上Zoom视频会议应用中出现的一个严重零日漏洞。他已经证明，任何网站都可以在安装了Zoom应用的Mac电脑上打开视频通话。

当你在Mac上安装Zoom应用程序时，它还会安装一个网络服务器，这个服务器“接受普通浏览器不会接受的请求”。

因此，任何网站都可以“在未经用户许可的情况下，强行加入用户的视频呼叫，并激活他们的摄像机”。即便卸载了Zoom，网络服务器仍会持续存在，并且可以在不需要用户干预的情况下重新安装Zoom。

此外，如果你曾经安装过Zoom客户端，然后卸载它，那么你的设备上仍然有一个本地主机web服务器，它会很乐意地为你重新安装Zoom客户端，而不需要你进行任何用户交互，只需要访问一个网页。这个重新安装的“功能”至今仍在工作。

Twitter也有其他用户报告了这个漏洞。

Leitschuh在3月份首次披露了该漏洞。然而直到现在，Zoom还是没有解决这一问题。Chrome和Mozilla团队也都发现了这个漏洞，但由于这不是其浏览器的问题，所以这些开发人员也无能为力。

此外，据Leitschuh说，Zoom缺乏“足够的自动更新功能”，这意味着仍然有用户在运行该应用的旧版本。

那么用户应该如何保护自己呢？最简单的方法是进入Zoom的设置窗口，启用“参加会议时关闭视频”设置。你还可以运行一系列终端命令来完全卸载web服务器。

AD：还在为资金紧张烦恼吗？猎云银企贷，全面覆盖京津冀地区主流银行及信托、担保公司，帮您细致梳理企业融资问题，统筹规划融资思路，合理撬动更大杠杆。填写只需两分钟，剩下交给我们！