縮放補丁Mac應用程序以刪除本地服務器，允許卸載後面的反彈

更新7/11： Apple已對macOS發出靜默更新，刪除了Zoom Mac應用程序的localhost服務器。

Zoom已經為其Mac應用程序發布了一個補丁，該應用程序從Mac中刪除了本地主機Web服務器，並允許用戶在發現嚴重漏洞後從菜單欄中手動卸載該應用程序。你可以在這裡下載補丁。

在本週早些時候的一篇媒體帖子中，安全研究員Jonathan Leitschuh在應用程序中披露了一個漏洞，該漏洞可能允許網站在您不知情或未經許可的情況下訪問您的Mac攝像頭。正如Leitschuh所解釋的那樣，這個漏洞源於Zoom對簡單性的追求。由於服務有效，您可以向任何人發送縮放會議鏈接，該鏈接將自動打開其計算機上安裝的縮放客戶端。如果您刪除了應用程序，Zoom會讓本地主機Web服務器在Mac上靜默運行，Leitschuh說，因此當點擊鏈接時，Zoom客戶端將重新安裝，除了訪問網頁之外，不需要代表您進行任何用戶交互。

（進一步閱讀：了解有關macOS Catalina的更多信息）

但是，Zoom解釋了Apple在Safari 12中實施的“需要用戶在加入每個會議之前確認他們想要啟動Zoom客戶端”的更改中斷了該功能。因此，為了節省用戶額外的點擊，Zoom安裝了localhost網絡服務器是“解決糟糕的用戶體驗問題的合法解決方案。”雖然該公司聲稱它沒有證據表明Mac受到DOS攻擊，它被描述為“經驗上的低風險漏洞”，但它也宣布將在未來幾週內實施公共漏洞披露計劃。

但是，除了在世界各地成千上萬的Mac上偷偷運行本地主機Web服務器的做法之外，Leitschuh還發現了一個漏洞，“允許任何網站強行加入用戶進行Zoom調用，激活他們的攝像機，無需用戶許可......並且通過反復將用戶加入無效呼叫，​​允許任何網頁進入DOS（拒絕服務）Mac。“

Leitschuh表示，在3月份聯繫後，Zoom公司在披露漏洞方面拖了下來，僅在6月底實施了“快速修復”。然而，在他週一發布了Medium post之後，該公司回應了一個解決方法，而不是一個真正的解決方案：“鑑於這種擔憂，我們決定讓我們的用戶更多地控制他們的視頻設置。作為即將發布的2019年7月發布的一部分，Zoom將應用並將用戶的視頻偏好從第一次Zoom會議保存到所有未來的Zoom會議。用戶和系統管理員仍可配置其客戶端視頻設置，以在加入會議時關閉視頻。此更改將適用於所有客戶端平台。“

您需要選中此框才能關閉網站訪問相機的功能。

然而，當故事開始在Mac愛好者網站中引起關注時，所有這些都發生了變化。週二晚些時候，該公司發布了一個補丁，該補丁既刪除了本地主機Web服務器，又允許用戶在將問題稱為“誠實監督”後永久刪除縮放應用程序。

禁用Zoom localhost Web服務器

如果要在不安裝更新的情況下永久禁用本地主機Web服務器在Mac上運行，則需要訪問終端並鍵入以下內容：

pkill ZoomOpener; rm -rf~ / .zoomus;觸摸〜/ .zoomus && chmod 000~ / .zoomus;

然後輸入：

pkill“RingCentralOpener”; rm -rf~ / .ringcentralopener; touch~ / .ringcentralopener && chmod 000~ / .ringcentralopener;＃

（tagsToTranslate）安全（t）的Mac電腦