[Update] Phần mềm gọi điện video Zoom trên MacOS cũng tồn tại một lỗ hổng bảo mật nghiêm trọng

Hồi đầu tuần này, một lỗ hổng bảo mật nghiêm trọng cho phép chiếm quyền điều khiển webcam của máy tính Mac trên phầm mềm hội nghị trực tuyến Zoom được công bố gây hoang mang cho hàng triệu người dùng máy tính Mac. Tuy nhiên, sự việc vẫn chưa kết thúc ở đó khi mới đây, các nhà nghiên cứu bảo mật cho biết máy chủ web được cài đặt cục bộ bởi phần mềm này còn tồn tại lỗ hổng bảo mật nghiêm trọng cho phép tin tặc kiểm soát hoàn toàn máy tính Mac của người dùng từ xa.

[Mới] Phần mềm gọi điện video Zoom trên MacOS cũng tồn tại một lỗ hổng bảo mật nghiêm trọng - CyberSec365.org

Cụ thể, nền tảng hội nghị trực tuyến Zoom đã bị phát hiện tồn tại một lỗ hổng bảo mật nghiêm trọng khác (có mã hiệu CVE-2019-13567) có thể cho phép tin tặc thực thi mã lệnh tùy ý từ xa trên các thiết bị bị nhắm mục tiêu bằng cách thuyết phục người dùng truy cập một trang web do chúng chuẩn bị sẵn.
Trong bài viết trước, ứng dụng hội nghị trực tuyến Zoom tồn tại một lỗ hổng bảo mật nghiêm trọng (có mã hiệu CVE-2019-13450) nằm trong các triển khai tính năng 
click-to-join, cho phép phần mềm tự động bật webcam trên thiết bị của người dùng khi họ truy cập vào một đường dẫn mời họp.
Cả hai lỗ hổng đều xuất phát từ một máy chủ web cục bộ gây tranh cãi. Chạy trên cổng 19421, mà máy khách Zoom cài đặt trên máy tính của người dùng để cung cấp tính năng click-to-join.

Có hai vấn đề mà nhà nghiên cứu bảo mật Jonathan Leitschuh nhấn mạnh. Đầu tiên, máy chủ cục bộ "không an toàn" nhận lệnh qua HTTP, cho phép bất kỳ trang web nào tương tác với nó và thứ hai, nó không bị gỡ cài đặt khi người dùng gỡ bỏ ứng dụng khách Zoom khỏi hệ thống của họ, khiến lỗ hổng tồn tại mãi mãi trong thiết bị.
Ngay sau khi nhận được sự chỉ trích cao từ mọi phía, công ty đã phát hành bản cập nhật khẩn cấp cho phần mềm của mình để loại bỏ hoàn toàn việc triển khai máy chủ web dễ bị tổn thương (ZoomOpener daemon).

Tuy nhiên, bản cập nhật phần mềm không thể bảo vệ những khách hàng cũ không sử dụng phần mềm nữa mà máy chủ web dễ bị tổn thương vẫn vô tình kích hoạt trên hệ thống của họ. 

Đáng lo ngại, theo một lời khuyên được công bố bởi National Vulnerability Database (NVD), lỗ hổng RCE mới được phát hiện cũng hoạt động chống lại người dùng đã gỡ cài đặt phần mềm hội nghị, nhưng máy chủ web của nó vẫn được kích hoạt và lắng nghe trên cổng 19421.

Trong khi đó, để giúp đỡ người dùng của mình, Apple đã bất ngờ vào ngày hôm qua và âm thầm phát hành một bản cập nhật cho tất cả người dùng macOS tự động xóa máy chủ web Zoom mà không yêu cầu bất kỳ tương tác người dùng nào, không quan trọng bạn có còn sử dụng phần mềm hội nghị hay không .

Hiện tại, các chi tiết kỹ thuật của lỗ hổng thực thi mã từ xa mới trong Zoom client cho macOS vẫn chưa có, nhưng Jonathan và các nhà nghiên cứu khác đã xác nhận, và chứng minh sự tồn tại của một khai thác bằng chứng khái niệm hoạt động, như trong video trên.
Để bảo vệ chống lại cả hai lỗ hổng, người dùng Zoom được khuyến nghị cài đặt các bản cập nhật hệ thống mới nhất, cũng như nâng cấp ngay lập tức lên phiên bản Zoom client 4.4.53932.0709 hoặc chỉ cần gỡ cài đặt phần mềm và chỉ sử dụng phiên bản trình duyệt của ứng dụng.