Apple выпустила патч, удаляющий скрытый web-сервер Zoom

Компания Apple без лишнего шума выпустила обновление для macOS, удаляющее скрытый web-сервер сервиса для организации видеоконференций Zoom. Ранее исследователь Джонатан Лейтшу (Jonathan Leitschuh) раскрыл уязвимость (CVE-2019–13450) в Zoom, позволяющую без разрешения включить web-камеру и присоединить пользователя к видеоконференции Zoom.

Одна из функций в Zoom автоматически активировала приложение, позволяя участникам присоединиться к видеоконференции по приглашению в браузере. Функцией управлял скрытый web-сервер (порт 19421), получающий команды через запросы HTTPS GET, при этом с сервером мог взаимодействовать любой открытый в браузере сайт. Эксплуатация этой уязвимости позволяла следить за пользователем через web-камеру или вывести Mac из строя.

Обновление удаляет скрытый web-сервер Zoom, который оставался на системе после деинсталяции приложения. Апдейт устанавливается автоматически и не требует взаимодействия с пользователем.