בעקבות החשיפה - והסיקור התקשורתי הרחב - של פגם של אפס יום בלקוח ה-Mac של Zoom של שירות ועידות הווידאו, המאפשר גישה קלה לעדכון המצלמה של המשתמש, החברה הפכה ביום שלישי מהמסלול ואמרה שהיא מתכננת להוציא תיקון לפגיעות.
הוכרז בפוסט בבלוג הרשמי של זום, תיקון אבטחת החירוםיסיר שרת אינטרנט מקומיהחברה משתמשת כדי לעקוף מנגנון הגנה של Safari 12, כמו גם לאפשר למשתמשים להסיר לחלוטין את האפליקציה.
המהלך הוא היפוך מסלול עבור זום, אשר לאחרונה נאמר ביום שלישי ששתי הפעולות יהיו קשות ליישום. זום הגן בעבר על השימוש שלה בשרת מארח מקומי כדי לעקוף פרוטוקולי אבטחה מובנים של Safari לטובת חווית משתמש יעילה.
ה-Safari 12 האחרון של אפל מחייב את המשתמשים לקיים אינטראקציה עם תיבת דיאלוג כאשר אתר אינטרנט או קישור מנסים להפעיל אפליקציה חיצונית. זום, שמתגאה ב-UX יעיל ופגישות וידאו בלחיצה אחת להצטרפות, פיתחה פתרון עוקף ביצירת שרת מארח מקומי שפועל כל הזמן כתהליך רקע.
כפי שפרט חוקר האבטחה Jonathan Leitschuh, אתרים מרושעיםיכול לנצלשל שרת האינטרנט המקומי כדי להפעיל שיחת וידאו עם פעולת הפעלה פשוטה או ניצול iframe, הפעלה אוטומטית של מצלמת האינטרנט של מק וחיבור לפגישה ללא הסכמת המשתמש. כל לקוחות Zoom Mac פגיעים דרך Safari, Chrome ו-Firefox, אלא אם האפשרות "כבה את הסרטון שלי בעת הצטרפות לפגישה" מסומנת בתפריט ההגדרות של התוכנה.
בנוסף להענקת גישה לא רצויה למצלמת אינטרנט, השרת המקומי נשאר במחשב מארח גם כאשר זום מוסרת ויכול להתקין מחדש את אפליקציית הלקוח ללא אינטראקציה של המשתמש.
זום הודיעה בתחילה כי היא לא תסיר את תכונת השרת, אך נראה שלחברה הייתה שינוי לב לאחר שהמנכ"ל שלה, אריק יואן, דן בדאגות האבטחהב"צ'אט מסיבות"עם Leitschuh וחברים שונים בקהילת Zoom ביום שני. הפגישה ההיא,נערך באמצעות זום, היה פתוח לכל המגיעים וניתן היה לגשת אליו דרך קישור הוכחת מושג מסופק בחוקר האבטחהדוח מקורי.
יחד עם הסרת שרת המארח המקומי, התיקון של יום שלישי של Zoom יכלול גם אפשרות בשורת תפריטים להסרה מוחלטת של לקוח ה-Mac. מוקדם יותר ביום שלישי, החברה אמרה שאין לה "דרך קלה לעזור למשתמש למחוק גם את לקוח Zoom וגם את אפליקציית שרת האינטרנט המקומי של Zoom ב-Mac שמפעילה את הלקוח שלנו", ואמרה שהתהליך צריך להסתיים באופן ידני דרך המסוף .
התיקון צפוי להגיע מאוחר יותר הלילה.
