Mac'teki Safari kısıtlamalarını aşma yaklaşımını desteklemesinin üzerinden bir günden az bir süre geçtikten sonra Zoom'un yerel web sunucusu artık yok.
Zoom onu öldürmeye karar verdi tartışmalı yerel web sunucusu Mac cihazlarda, video konferans yazılımı kullanıcılarının bir toplantıya katılmak için fazladan tıklamayı önlemelerine olanak tanır.
Salı günü Zoom, ZDNet'e yaptığı açıklamada sunucunun kullanımını savundu ve bunun "bir soruna meşru bir çözüm" olduğunu söyledi. Kullanıcılarımızın temel ürünümüz olan kesintisiz, tek tıklamayla toplantılara katılmasına olanak tanıyan zayıf kullanıcı deneyimi farklılaştırıcı".
Çarşamba günü, şirketin bir duyuruda açıkladığı gibi, bu farklılaşma azaldı son derece güncel blog yazısı Salı gecesi için hazırlanan bir yamayla yerel web sunucusu desteğini geri çekeceğini söyledi.
Zoom, "Yama dağıtıldıktan sonra, Mac kullanıcılarına Zoom kullanıcı arayüzünde (UI) istemcilerini güncellemeleri istenecek" dedi.
"Güncelleme tamamlandığında, yerel web sunucusu o cihazda tamamen kaldırılacaktır."
Şirket Çarşamba günü ZDNet'e yaptığı açıklamada, rota değişikliğinin güvenlik kaygılarına değil müşteri geri bildirimlerine yanıt olarak yapıldığını söyledi.
"Uzaktan kod yürütmeye yönelik bir güvenlik açığı hiçbir zaman tespit edilmedi. Zoom, güvenlik topluluğundan ve kullanıcılarımızdan gelen geri bildirimlere dayanarak web sunucusunu kaldırmaya karar verdi" dedi.
"Yükseltme yapmamış olanlar için bile Zoom, arka uçta devre dışı bıraktığımız için artık toplantılara otomatik olarak katılmak için yerel web sunucusunu kullanmayacak."
Yama aynı zamanda kullanıcıların Zoom istemcisini Mac'lerinden "manuel ve tamamen" kaldırmasına da olanak tanıyacak. Yerel web sunucusu mevcut olduğunda, bir kullanıcı Zoom'u kaldırmışsa ancak sunucu arka planda hala çalışıyorsa, bir toplantı bağlantısı tıklandığında Zoom yeniden yüklenecektir.
Zoom ayrıca 12 Temmuz'da yeni bir kullanıcının videoyu varsayılan olarak etkinleştirip etkinleştirmeme tercihini kaydedecek bir güncelleme yayınlamayı planlıyor.
Bu değişiklikler Pasifik Saati'ne göre 13:15'te yapılan bir güncellemede ayrıntılı olarak açıklandı, ancak beş saat önce şirket, yazılımı güzel bir şekilde kaldırmanın bir yolu olmadığını söyledi.
"Şu anda bir kullanıcının hem Zoom istemcisini hem de istemcimizi başlatan Mac'teki Zoom yerel web sunucusu uygulamasını silmesine yardımcı olacak kolay bir yolumuz yok. Kullanıcının şimdilik bu iki uygulamayı manuel olarak bulup silmesi gerekiyor" dedi.
"Bu dürüst bir gözetimdi."
Zoom, güvenlik araştırmacısı Jonathan Leitschuh'un bulgularına yanıt veriyordu. onun sorunları bir blog yazısında.
Leitschuh, "Yerel makinemde tamamen belgelenmemiş bir API ile bir web sunucusu çalıştıran yüklü bir uygulamaya sahip olmanın bana inanılmaz derecede yarım yamalak geldiğini söyleyerek başlayayım," diye yazdı.
"İkincisi, ziyaret ettiğim herhangi bir web sitesinin makinemde çalışan bu web sunucusuyla etkileşime girebilmesi, bir Güvenlik Araştırmacısı olarak benim için büyük bir tehlike işaretidir."
Güvenlik araştırmacısı, yerel sunucu kullanımının temel bir güvenlik açığı olduğunu ve sitelerin uygulamalarla bu şekilde iletişim kurmaması gerektiğini söyledi.
"Her Zoom kullanıcısının, tarayıcı sanal alanının dışındaki kodu tetikleyen HTTP GET isteklerini kabul eden bir web sunucusuna sahip olması, Zoom'un arkasında büyük bir hedef çiziyor" diye yazdı.
Rapor sayesinde Leitschuh, Zoom'un ayrıca bir çağrı sunucusunun katılımcıların video etkinken otomatik olarak katılmasını sağlama özelliğini de kaldırdığını söyledi.
"Zoom bu güvenlik açığını kapatmayı başardı ancak tek yaptıkları, saldırganın kullanıcının video kamerasını açmasını engellemek oldu. Güvenlik araştırmacısı, bir saldırganın kötü amaçlı bir siteyi ziyaret eden herhangi bir kişiyi aramaya zorla katılma yeteneğini devre dışı bırakmadılar" diye yazdı.
Leitschuh, Zoom deneyiminden sonra araştırmacıların güvenlik açıklarını satıcıya bildirmemelerini ve bunun yerine Sıfır Gün Girişimi'ni kullanmalarını önerdi.
10 Temmuz 2019, 14:30 AEST'de güncellendi: Zoom'dan yorumlar eklendi.
İlgili Kapsam.
- Zoom, güvenlik raporunun ardından Mac'lerde yerel web sunucusunun kullanımını savundu
- Zoom'un halka arzı, hisse başına 65 dolardan göz kamaştıran bir fiyatla açılıyor
- Zoom güçlü ilk çeyreği rapor ediyor, görünüm artıyor ve müşteri tabanı artıyor
- Çalışan deneyimi ve etkileşim yazılımı neden popüler bir alan olabilir?
- Zoom konferans hattınızı bilgisayar korsanlarından nasıl korursunuz? (TechRepublic)