苹果推送静默更新，移除 Zoom 网络服务器漏洞

苹果本周为 Mac 用户推送了一项静默更新，删除了热门视频会议应用 Zoom 中一个易受攻击的组件，该组件允许网站在没有获得用户许可的情况下自动将用户添加到视频通话中。

苹果对 TechCrunch 表示，目前已发布的这项更新移除了隐藏的网络服务器。此前，当用户安装 Zoom 应用时，Zoom 会将这个网络服务器悄悄安装在用户的 Mac 电脑上。

苹果表示，这项更新不需要任何用户操作，会自动完成。

乔纳森·莱特舒赫（Jonathan Leitschuh）周一 公布了这个漏洞 ，随后 Zoom 遭到了激烈批评。莱特舒赫表示，“任何网站都可以在没有获得用户许可的情况下，激活摄像头，将用户强行加入到 Zoom 通话中”。即使用户卸载 Zoom，这个未被记录的网络服务器仍保持在安装状态。这使得 Zoom 可以在不需要任何用户交互的情况下重新安装应用。

他同时还发布了一个概念验证页面，以证明该漏洞。

本周二，Zoom 发布了新版本应用 ，修复该漏洞，但苹果表示，该公司的做法可以保护以往和现在的用户不受该服务器漏洞的影响，同时也不会影响或妨碍 Zoom 本身的功能。

现在，如果用户想要打开 Zoom 应用，那么这项更新将发出提示。以往，应用会自动打开。

苹果经常对 Mac 进行静默更新，拦截已知的恶意软件，这类似于反恶意软件的服务。不过，苹果很少公开对热门应用采取行动。该公司表示，推送更新是为了保护用户免受服务器漏洞带来的风险。

Zoom 发言人普里西拉·麦卡锡（Priscilla McCarthy）表示：“我们很高兴与苹果合作测试这个更新。我们预计网页服务器问题今天将会得到解决。我们正继续解决用户关切的问题，并感谢用户的耐心。”

目前全球 75 万家公司有 400 多万用户使用 Zoom 进行视频会议。

翻译：维金

Apple has pushed a silent Mac update to remove hidden Zoom web server