آسيبپذيري نرمافزار Zoom در سيستمهاي مك و وصلهاي براي برطرف كردن آن
شركت اخبار تخصصي كه امكان برگزاري ويدئو كنفرانس را فراهم ميكند، امروز يك وصلهي جديد براي متخصصان سيستمهاي مك فراهم كرد تا آسيبپذيري روز صفر اين متخصصان را مرتفع كند. اين وصله پس از آن تهيه شده كه مشخص شد آسيبپذيري روز صفر ممكن است باعث شود تا متخصص مورد حمله قرار گيرد و ناخواسته در يك چت ويدئويي عضو شود كه قصد آن را نداشته است. عكسالعمل اخبار تخصصي، در واقع موضعگيري آنها را نسبت به انديشه متخصصينات پيشين اين شركت نسبت به آسيبپذيري يادشده نشان ميدهد كه آن را «كمخطر» توصيف كرده بودند. آنها براساس انديشه متخصصينات پيشين از بهكارگيري سرورهاي محلي دفاع كرده بودند اما اين كار باعث ميشد احتمال حمله نرمافزاري براي متخصصان وجود داشته باشد. حالا آنها يك قدم به عقب برداشتهاند و آن را آسيبپذيري روز صفر ميدانند.
در هشتم ژوئيه يك پژوهشگر امنيت بهنام جاناتان ليتش (Jonathan Leitschuh)، اشكال بزرگ آسيبپذيري روز صفر اخبار تخصصي (نرمافزار برگزاري ويدئو كنفرانس) در سيستمهاي مك را بهصورت عمومي اعلام كرد. او گفت وقتي نرمافزار اخبار تخصصي روي سيستمهاي مك نصب شده باشد، هر وبسايتي ميتواند يك تماس ويدئويي با اين سيستم برقرار كند. اين اشكال از آنجا ناشي ميشود كه وقتي اپليكيشن اخبار تخصصي روي اين سيستمها نصب ميشود، يك سرور را هم روي آن نصب ميكند كه درخواستهايي را قبول ميكند كه مرورگرهاي معمولي آنها را نميپذيرند. در واقع حتي اگر شما نرمافزار اخبار تخصصي را از روي سيستم خود حذف كنيد، باز هم اين سرور ميتواند بدون اجازهي شما آن را روي سيستم نصب كند.
نسخهي آزمايشي كه ليتش فراهم كرده، نشان ميدهد در صورتي كه قبلاً اپليكيشن اخبار تخصصي را نصب كرده باشند (و در قسمت مربوط به اتصال خودكار به گفتگوهاي ويدئويي تنظيمات را تغيير نداده باشند) بهطور خودكار وارد ويدئو كنفرانسهاي ناخواسته ميشوند و دوربين خودبه خود روشن ميشود و در نتيجه آسيبپذيري متخصصان بسيار بالا ميرود. افراد ديگري هم در توييتر همين گزارش را دادهاند.
آسيبپذيري اخبار تخصصي بسيار بد است. من فقط براي اتصال به يك لينك اجازه دادم اما همزمان به سه گفتگوي ويدئويي ديگر هم هدايت شدم.ــMatt Haughey
ليتش ضمنِ اعلام اين اشكال گفته است كه در اواخر ماه مارس اين اشكال را به اخبار تخصصي گوشزد كرده و به آنها ۹۰ روز فرصت داده تا آن را برطرف كنند. اما براساس آنچه در حساب متخصصي ليتش بيان شده اخبار تخصصي براي برطرف كردن اشكال آسيبپذيري متخصصان مك تلاش مقتضي را نداشته است. اين اشكال به تيمهاي موزيلا (Mozilla) و كروميوم (Chromium) هم گزارش شده است اما چون ناشي از مرورگرهاي آنها نيست، كار زيادي از دست آنها برنميآمد.
با اينكه روشن شدن خودبهخودي دوربين به اندازهي كافي اشكال بزرگي هست، اما وجود سرور روي كامپيوتر اشكالات جديتري را هم براي متخصصان مك ايجاد ميكند. بهعنوان مثال در نسخههاي قبلي اخبار تخصصي (پس از وصله شدن) اين امكان وجود داشت كه با پينگ كردنهاي متوالي، تأييد كنيد به سيستم حمله نشده است.
البته شما بهراحتي ميتوانيد اشكال دوربين را حل كنيد. براي اين كار بايد ابتدا اطمينان حاصل كنيد كه اپليكيشن مك بهروزرساني شده است؛ همچنين در اپليكيشن اخبار تخصصي در قسمتي كه اجازه دادهايد اخبار تخصصي در هنگام حضور در گفتگوها دوربين شما را روشن كند، آن را مطابق شكل زير غيرفعال كنيد. باز هم تأكيد ميكنيم كه حذف اخبار تخصصي از روي سيستم مك اشكال را حل نميكند چون در اين صورت باز هم سرور نصبشده روري سيستم شما باقي ميماند. خاموش كردن اين سرور نياز به تعدادي دستور در ترمينال دارد كه در پايين اين پست ميتوانيد آنها را ببينيد.
براساس گفتهها، اخبار تخصصي اعلام كرده است كه نصب سرور محلي روي سيستمها به اين دليل بوده تا متخصصان بتوانند راحتتر و با تعداد كليك كمتر گفتگوهاي ويدئويي خود را آغاز كنند. اين موضوع از آن لحاظ قابلتوجه بود كه مرورگر سافاري به گونهاي تغيير كرده كه هر بار استفاده از اخبار تخصصي (و در نتيجه هر بار روشن شدن دوربين) نياز به تأييد متخصص دارد. اما اين سرور داخلي نياز به اين تأييدهاي متوالي را مرتفع ميكرد.
اخبار تخصصي اشكال امنيتي دوربين مك را با يك وصلهي فوري برطرف ميكند
در آخرين بهروزرساني وبلاگ شركت اخبار تخصصي عنوان شده است كه براي حل اين اشكال قرار است با بهروزرساني كلاينت اخبار تخصصي، همهي سرورهاي محلي حذف شوند تا هكرها نتوانند بهصورت خودكار و با استفاده از لينك اخبار تخصصي، وبكم را فعال كنند. اين آسيبپذيري از آنجا ناشي ميشود كه اخبار تخصصي يك سرور محلي را روي كامپيوترهاي مك نصب ميكند. اين سرور اپليكيشن مخصوص به خود را روي اين سيستمها نصب ميكند و اپليكيشن يادشده ميتواند ميانبري براي گذر از مراحل امنيتي سافاري ۱۲ (Safari 12) داشته باشد و بهراحتي صفحهاي براي متخصص باز كند و از او بخواهد عضويت در چتهاي جديد را تأييد كند.
پس از اينكه اين خبر منتشر شد، مسئول امنيت اخبار تخصصي، ريچارد فرلي (Richard Farely) در مورد افكاري كه در وراي اين اتفاق بود، صحبت كرد:
نهايتاً موضوع مهم براي ما، بازخورد متخصصان هميشگيمان است كه در مباحثهها نيز شركت دارند. در ابتدا تصور ما اين بود كه نصب اين سرورهاي محلي به متخصصان كمك خواهد كرد كه بدون نياز به تعداد زيادي كليك بتوانند وارد گفتگوي ويدئويي جديدي شوند. ما فكر ميكرديم اين تصميم درستي است. اين تصميم به دليل درخواستهايي بود كه از طرف برخي متخصصان دريافت كرديم.اما از طرفي متوجه شديم برخي متخصصان علاقهاي به اين سرورها ندارند و نميخواهند يك بخش جديد روي سيستمهايشان نصب شود. بنابراين به خواست آنها احترام گذاشتيم و تصميم گرفتيم سرورهاي محلي را حذف كنيم (با وجود اينكه با اين كار براي شروع يك گفتگوي جديد بايد تعداد زيادي كليك در سافاري داشت).
با وجود اينكه فرلي تأكيد كرده بود سروري كه در اخبار تخصصي نصب ميشده، فقط تا اندازهي لازم اجازهي عملكرد داشته و از امنيت كافي برخوردار بوده، اين شركت تصميم گرفته سرورها را حذف كند. يك نگراني ديگر در مورد اخبار تخصصي، امكان قرارگيري لينكهاي اخبار تخصصي در آي فريمهاي (Iframes) صفحات وب است. فرلي در اين مورد ميگويد اخبار تخصصي اين امكان را حذف نميكند چون بسياري از مشتريان تجاري اخبار تخصصي از امكان قراردهي آي فريم در اخبار تخصصي استفاده ميكنند.
بهروزرساني: وصلهي جديدي كه در تاريخ ۹ ژوئيه براي سيستمهاي مك اعلام كرديم، در حال حاضر آماده است. جزئيات در مورد بخشهاي مختلفي كه در اين وصله ترميم شدهاند و چگونگي بهروزرساني نرمافزار اخبار تخصصي در آن توضيح داده شده است. پست وبلاگ را اينجا ببينيد.--Zoom
خلاصهاي از بهروزرساني ارائهشده توسط اخبار تخصصي و راهنماي نصب آن يا حذف كامل سرور محلي بهصورت زير است:
در وصلهاي كه در تاريخ ۹ ژوئيه و تا ساعت 12:00 AM PT منتشر ميشود، اقدامات زير صورت ميگيرد:۱.حذف كامل سرورهاي محلي با بهروزرساني كلاينت اخبار تخصصي: ما استفاده از سرورهاي محلي در سيستمهاي مك را متوقف ميكنيم. وقتي وصله مورد استفاده قرار گيرد، متخصصان مك وارد محيط متخصصي اخبار تخصصي ميشوند (UI) تا كلاينت خود را بهروزرساني كنند. وقتي بهروزرساني تكميل شود، سرورهاي محلي بهطور كامل از سيستم حذف شدهاند.۲. متخصصان اجازه خواهند داشت بهصورت دستي اخبار تخصصي را حذف كنند: ما گزينهي جديدي به منوي اخبار تخصصي اضافه كردهايم كه از طريق آن متخصصان ميتوانند بهصورت دستي و كامل كلاينت اخبار تخصصي را حذف كنند بهطوريكه سرورهاي محلي نصبشده روي سيستم هم حذف شود. وقتي وصله مورد استفاده قرار گيرد، يك منوي جديد ظاهر ميشود كه عبارت Uninstall Zoom (حذف اخبار تخصصي) را نشان ميدهد. با كليك روي اين دكمه، اخبار تخصصي و تمام تنظيمات مربوط به آن در كامپيوتر متخصص، بهطور كامل حذف خواهد شد.
اين شركت گفته است كه از ماه ژوئيه اخبار تخصصي با تغييرات كوچكي مواجه خواهد شد و اين امكان براي متخصصان حفظ ميشود كه در زمان برقراري تماس از طريق اخبار تخصصي بتوانند انتخاب كنند كه آيا دوربين روشن شود يا خير. در واقع به انديشه متخصصين نميرسد اخبار تخصصي بخواهد روند عملكرد اين اپليكيشن را تغيير دهد يا اشكال حضور ناخواسته در تماسها را مرتفع كند، اما اين امكان را به متخصص ميدهد كه بتواند حالت پيشفرض دوربين را «خاموش» انتخاب كند.
هم انديشي ها