Компания Apple выпустила «тихое» обновление для операционной системы macOS. Обновление устанавливается незаметно для пользователя и удаляет уязвимый компонент в популярном приложении для видеоконференций Zoom. Уязвимый компонент — это скрытый веб-сервер localhost, который раньше устанавливался на компьютер при инсталляции клиента Zoom и оставался на компьютере даже после удаления клиента.

В последние несколько дней большой резонанс получило расследование специалиста по безопасности Джонатана Лейтшуха (Jonathan Leitschuh). Он показал, что Mac Zoom Client позволяет любому сайту активировать веб-камеру Mac без согласия пользователя (или присоединиться к текущему разговору). Это позволяет просто вырубить «мак» с любой веб-страницы отправкой непрерывного потока запросов на подключение к некорректному звонку. Соответствующие уязвимости зарегистрированы под номерами CVE-2019–13449 (DoS-атака) и CVE-2019–13450 (веб-сервер). Первую из них Zoom исправила в версии клиента 4.4.2, а вторая закрывается нынешним обновлением.

Обновление не требует взаимодействия с пользователем и развёртывается автоматически. Оно удаляет скрытый веб-сервер, который Zoom устанавливает на компьютерах пользователей вместе с приложением для проведения видеоконференций.

Веб-сервер

Интересно, что если установить клиент Zoom, а потом удалить его, веб-сервер localhost остаётся на компьютере. Он автоматически переустановит Zoom без всякого взаимодействия с пользователем по запросу веб-страницы.



Эта «функция» продолжала работать, пока Джонатан Лейтшух не решил разгласить информацию, чтобы вынудить Apple всё-таки признать её как уязвимость.



Apple и Zoom, видимо, изначально не считали её уязвимостью. Ведь это так удобно: вы можете послать кому-угодно ссылку по почте или в мессенджере (например, https://zoom.us/j/492468757), получатель нажмёт на неё — и у него на компьютере волшебным образом откроется клиент Zoom. Настоящая магия.



К сожалению, функция была реализована не совсем безопасным образом, и слишком многое позволяла сторонним сайтам.

Исследователь сообщил представителю Zoom об уязвимости 26 марта 2019 года, в том числе предложил описание хотфикса, который можно было реализовать путём простого изменения логики сервера. На подтверждение уязвимости Zoom потребовалось 10 дней. Первое реальное обсуждение темы состоялось 11 июня 2019 года, всего за 18 дней до окончания 90-дневного срока публичного раскрытия. В ходе этой встречи были подтверждены детали уязвимости и обсуждён запланированный патч для Zoom. Но Джонатан говорит, что в их запланированном исправлении он уже изначально мог описать способ обхода. По сути, компания не смогла чётко сформулировать суть уязвимости и быстро выпустить эффективный патч.

Zoom выпустила патч 21 июня, за три дня до истечения положенного срока, но довольно быстро был обнаружен способ обойти его и снова обратиться к веб-серверу на компьютере пользователя с посторонней веб-страницы. Джонатан Лейтшух опубликовал веб-страницу с демонстрацией концепции. Если у вас не установлен последний патч, то по нажатию на эту ссылку автоматически активируется вызов Zoom и включится веб-камера.

8 июля вышла новая версия Zoom, которая должна была защитить пользователей от несанкционированной активности веб-сервера localhost. После установки нового обновления клиент спрашивает у пользователей, хотят ли они открыть приложение, тогда как раньше оно открывалось автоматически. Но для полного решения проблемы понадобилось ещё и обновление операционной системы.

Как часто делает Apple, новое обновление устанавливается на компьютеры пользователей без их ведома. Представитель Zoom Присцилла Маккарти (Priscilla McCarthy) сказала TechCrunch: «Вместе с Apple мы работали над тестированием этого обновления. Мы ожидаем, что проблема веб-сервера сегодня будет решена. Благодарим пользователей за терпение, поскольку мы продолжаем работать над решением их проблем».

Обновление можно установить самостоятельно из командной строки:

softwareupdate -i MRTConfigData_10_14-1.45 --include-config-data

Более четырёх миллионов пользователей в 750 000 компаниях по всему миру используют Zoom для видеоконференций.