آسيب‌پذيري نرم‌افزار Zoom در سيستم‌هاي مك و وصله‌اي براي برطرف كردن آن

شركت اخبار تخصصي كه امكان برگزاري ويدئو كنفرانس را فراهم مي‌كند، امروز يك وصله‌ي جديد براي متخصصان سيستم‌هاي مك فراهم كرد تا آسيب‌پذيري روز صفر اين متخصصان را مرتفع كند. اين وصله پس از آن تهيه شده كه مشخص شد آسيب‌پذيري روز صفر ممكن است باعث شود تا متخصص مورد حمله قرار گيرد و ناخواسته در يك چت ويدئويي عضو شود كه قصد آن را نداشته‌ است. عكس‌العمل اخبار تخصصي، در واقع موضع‌گيري آن‌ها را نسبت به انديشه متخصصينات پيشين اين شركت نسبت به آسيب‌پذيري يادشده نشان مي‌دهد كه آن را «كم‌خطر» توصيف كرده‌ بودند. آن‌ها براساس انديشه متخصصينات پيشين از به‌كارگيري سرورهاي محلي دفاع كرده بودند اما اين كار باعث مي‌شد احتمال حمله نرم‌افزاري براي متخصصان وجود داشته باشد. حالا آن‌ها يك قدم به عقب برداشته‌اند و آن را آسيب‌پذيري روز صفر مي‌دانند.

در هشتم ژوئيه يك پژوهشگر امنيت به‌نام جاناتان ليتش (Jonathan Leitschuh)، اشكال بزرگ آسيب‌پذيري روز صفر اخبار تخصصي (نرم‌افزار برگزاري ويدئو كنفرانس) در سيستم‌هاي مك را به‌صورت عمومي اعلام كرد. او گفت وقتي نرم‌افزار اخبار تخصصي روي سيستم‌هاي مك نصب شده باشد، هر وب‌سايتي مي‌تواند يك تماس ويدئويي با اين سيستم برقرار كند. اين اشكال از آنجا ناشي مي‌شود كه وقتي اپليكيشن اخبار تخصصي روي اين سيستم‌ها نصب مي‌شود، يك سرور را هم روي آن نصب مي‌كند كه درخواست‌هايي را قبول مي‌كند كه مرورگرهاي معمولي آن‌ها را نمي‌پذيرند. در واقع حتي اگر شما نرم‌افزار اخبار تخصصي را از روي سيستم خود حذف كنيد، باز هم اين سرور مي‌تواند بدون اجازه‌ي شما آن را روي سيستم نصب كند.

آسيب‌پذيري اخبار تخصصي بسيار بد است. من فقط براي اتصال به يك لينك اجازه دادم اما هم‌زمان به سه گفتگوي ويدئويي ديگر هم هدايت شدم.ــMatt Haughey

ليتش ضمنِ اعلام اين اشكال گفته است كه در اواخر ماه مارس اين اشكال را به اخبار تخصصي گوشزد كرده و به آن‌ها ۹۰ روز فرصت داده‌ تا آن را برطرف كنند. اما براساس آنچه در حساب متخصصي ليتش بيان شده اخبار تخصصي براي برطرف كردن اشكال آسيب‌پذيري متخصصان مك تلاش مقتضي را نداشته است. اين اشكال به تيم‌هاي موزيلا (Mozilla) و كروميوم (Chromium) هم گزارش شده است اما چون ناشي از مرورگرهاي آن‌ها نيست، كار زيادي از دست آن‌ها برنمي‌آمد.

با اينكه روشن شدن خودبه‌خودي دوربين به اندازه‌ي كافي اشكال بزرگي هست، اما وجود سرور روي كامپيوتر اشكالات جدي‌تري را هم براي متخصصان مك ايجاد مي‌كند. به‌عنوان مثال در نسخه‌هاي قبلي اخبار تخصصي (پس از وصله شدن) اين امكان وجود داشت كه با پينگ كردن‌هاي متوالي، تأييد كنيد به سيستم حمله نشده‌ است.

البته شما به‌راحتي مي‌توانيد اشكال دوربين را حل كنيد. براي اين كار بايد ابتدا اطمينان حاصل كنيد كه اپليكيشن مك به‌روزرساني شده‌ است؛ همچنين در اپليكيشن اخبار تخصصي در قسمتي كه اجازه داده‌ايد اخبار تخصصي در هنگام حضور در گفتگوها دوربين شما را روشن كند، آن را مطابق شكل زير غيرفعال كنيد. باز هم تأكيد مي‌كنيم كه حذف اخبار تخصصي از روي سيستم مك اشكال را حل نمي‌كند چون در اين صورت باز هم سرور نصب‌شده روري سيستم شما باقي مي‌ماند. خاموش كردن اين سرور نياز به تعدادي دستور در ترمينال دارد كه در پايين اين پست مي‌توانيد آن‌ها را ببينيد.

براساس گفته‌ها، اخبار تخصصي اعلام كرده است كه نصب سرور محلي روي سيستم‌ها به اين دليل بوده تا متخصصان بتوانند راحت‌تر و با تعداد كليك كمتر گفتگوهاي ويدئويي خود را آغاز كنند. اين موضوع از آن لحاظ قابل‌توجه بود كه مرورگر سافاري به گونه‌اي تغيير كرده كه هر بار استفاده از اخبار تخصصي (و در نتيجه هر بار روشن شدن دوربين) نياز به تأييد متخصص دارد. اما اين سرور داخلي نياز به اين تأييدهاي متوالي را مرتفع مي‌كرد.

در آخرين به‌روزرساني وبلاگ شركت اخبار تخصصي عنوان شده است كه براي حل اين اشكال قرار است با به‌روزرساني كلاينت اخبار تخصصي، همه‌ي سرورهاي محلي حذف شوند تا هكرها نتوانند به‌صورت خودكار و با استفاده از لينك اخبار تخصصي، وب‌كم را فعال كنند. اين آسيب‌پذيري از آنجا ناشي مي‌شود كه اخبار تخصصي يك سرور محلي را روي كامپيوترهاي مك نصب مي‌كند. اين سرور اپليكيشن مخصوص به خود را روي اين سيستم‌ها نصب مي‌كند و اپليكيشن يادشده مي‌تواند ميانبري براي گذر از مراحل امنيتي سافاري ۱۲ (Safari 12) داشته باشد و به‌راحتي صفحه‌اي براي متخصص باز كند و از او بخواهد عضويت در چت‌هاي جديد را تأييد كند.

پس از اينكه اين خبر منتشر شد، مسئول امنيت اخبار تخصصي، ريچارد فرلي (Richard Farely) در مورد افكاري كه در وراي اين اتفاق بود، صحبت كرد:

نهايتاً موضوع مهم براي ما، بازخورد متخصصان هميشگي‌مان است كه در مباحثه‌ها نيز شركت دارند. در ابتدا تصور ما اين بود كه نصب اين سرورهاي محلي به متخصصان كمك خواهد كرد كه بدون نياز به تعداد زيادي كليك بتوانند وارد گفتگوي ويدئويي جديدي شوند. ما فكر مي‌كرديم اين تصميم درستي است. اين تصميم به دليل درخواست‌هايي بود كه از طرف برخي متخصصان دريافت كرديم.اما از طرفي متوجه شديم برخي متخصصان علاقه‌اي به اين سرورها ندارند و نمي‌خواهند يك بخش جديد روي سيستم‌هايشان نصب شود. بنابراين به خواست آن‌ها احترام گذاشتيم و تصميم گرفتيم سرورهاي محلي را حذف كنيم (با وجود اينكه با اين كار براي شروع يك گفتگوي جديد بايد تعداد زيادي كليك در سافاري داشت).

با وجود اينكه فرلي تأكيد كرده‌ بود سروري كه در اخبار تخصصي نصب مي‌شده، فقط تا اندازه‌ي لازم اجازه‌ي عملكرد داشته و از امنيت كافي برخوردار بوده، اين شركت تصميم گرفته سرورها را حذف كند. يك نگراني ديگر در مورد اخبار تخصصي، امكان قرارگيري لينك‌هاي اخبار تخصصي در آي فريم‌هاي (Iframes) صفحات وب است. فرلي در اين مورد مي‌گويد اخبار تخصصي اين امكان را حذف نمي‌كند چون بسياري از مشتريان تجاري اخبار تخصصي از امكان قراردهي آي فريم در اخبار تخصصي استفاده مي‌كنند.

به‌روزرساني: وصله‌ي جديدي كه در تاريخ ۹ ژوئيه براي سيستم‌هاي مك اعلام كرديم، در حال حاضر آماده است. جزئيات در مورد بخش‌هاي مختلفي كه در اين وصله ترميم شده‌اند و چگونگي به‌روزرساني نرم‌افزار اخبار تخصصي در آن توضيح داده شده‌ است. پست وبلاگ را اينجا ببينيد.--Zoom 

خلاصه‌اي از به‌روزرساني ارائه‌شده توسط اخبار تخصصي و راهنماي نصب آن يا حذف كامل سرور محلي به‌صورت زير است:

در وصله‌اي كه در تاريخ ۹ ژوئيه و تا ساعت 12:00 AM PT منتشر مي‌شود، اقدامات زير صورت مي‌گيرد:۱.حذف كامل سرورهاي محلي با به‌روزرساني كلاينت اخبار تخصصي: ما استفاده از سرورهاي محلي در سيستم‌هاي مك را متوقف مي‌كنيم. وقتي وصله مورد استفاده قرار گيرد، متخصصان مك وارد محيط متخصصي اخبار تخصصي مي‌شوند (UI) تا كلاينت خود را به‌روزرساني كنند. وقتي به‌روزرساني تكميل شود، سرورهاي محلي به‌طور كامل از سيستم حذف شده‌اند.۲. متخصصان اجازه خواهند داشت به‌صورت دستي اخبار تخصصي را حذف كنند: ما گزينه‌ي جديدي به منوي اخبار تخصصي اضافه كرده‌ايم كه از طريق آن متخصصان مي‌توانند به‌صورت دستي و كامل كلاينت اخبار تخصصي را حذف كنند به‌طوري‌كه سرورهاي محلي نصب‌شده روي سيستم هم حذف شود. وقتي وصله مورد استفاده قرار گيرد، يك منوي جديد ظاهر مي‌شود كه عبارت Uninstall Zoom  (حذف اخبار تخصصي) را نشان مي‌دهد. با كليك روي اين دكمه، اخبار تخصصي و تمام تنظيمات مربوط به آن در كامپيوتر متخصص، به‌طور كامل حذف خواهد شد.

اين شركت گفته‌ است كه از ماه ژوئيه اخبار تخصصي با تغييرات كوچكي مواجه خواهد شد و اين امكان براي متخصصان حفظ مي‌شود كه در زمان برقراري تماس از طريق اخبار تخصصي بتوانند انتخاب كنند كه آيا دوربين روشن شود يا خير. در واقع به انديشه متخصصين نمي‌رسد اخبار تخصصي بخواهد روند عملكرد اين اپليكيشن را تغيير دهد يا اشكال حضور ناخواسته در تماس‌ها را مرتفع كند، اما اين امكان را به متخصص مي‌دهد كه بتواند حالت پيش‌فرض دوربين را «خاموش» انتخاب كند.