Apple hat ein schwerwiegendes Sicherheitsproblem in der Videochat- und Meeting-App Zoom mit einer stillen Aktualisierung des Betriebssystems behoben. Wie der Konzern gegenüber dem IT-Blog TechCrunch bestätigte, entfernt das Silent Update einen von Zoom auf dem lokalen System verankerten Webserver, der auch nach einer Deinstallation der App auf dem Rechner bleibt. Mit ihm ist es Angreifern möglich, die Kamera des Mac aus der Ferne und vom Nutzer unerwünscht zu aktivieren, was höchst problematische Auswirkungen für die Privatsphäre haben kann. Doppelt hält besser Zoom selbst hatte am Mittwochabend ein eigenes Update für seine macOS-Anwendung herausgebracht, die den Webserver löscht; allerdings scheint Apple die Gefahr als so groß eingeschätzt zu haben, dass der Konzern lieber selbst aktiv wurde. Eine Funktion, mit der Signaturupdates für den Systemschutz Gatekeeper eingespielt werden, lässt sich von Apple auch dazu verwenden, sicherheitsrelevante Aktualisierungen auf den Mac zu bringen. Dies geschieht laut Apple ohne Nutzerinteraktion und automatisch. Der Konzern wendet die Funktion allerdings nur in sehr seltenen Fällen an; regulär müssen Nutzer Sicherheitsupdates von Hand installieren, wenn sie die automatische Update-Funktion in den Systemeinstellungen nicht aktiviert haben. Der Sicherheitsexperte Jonathan Leitschuh hatte am Montag das Problem in Zoom offengelegt, nachdem er es dem Videochat-Anbieter gegenüber vor Monaten mitgeteilt hatte. "Jede Website konnte einen Nutzer dazu zwingen, an einem Zoom-Anruf teilzunehmen und die Kamera zu aktivieren, ohne dass er dem zustimmen muss", beschrieb er das Problem. Einen Proof-of-Concept veröffentlichte er ebenfalls. Mit Apple "zusammengearbeitet" Zoom hatte zunächst den Einsatz eines lokalen Webservers verteidigt, weil dieser die Neuinstallation vereinfachen soll. Dann entschied sich das Unternehmen, eine neue Client-Version für macOS zu publizieren, die den Server killt. Apple reichte das laut eigenen Angaben nicht. Mit dem Silent Update schütze man nun frühere und aktuelle Nutzer vor der undokumentierten Webserver-Lücke, so das Unternehmen gegenüber TechCrunch. Die Funktionen der Zoom-App werden dadurch nicht gestört. Videochats werden nun nicht mehr automatisch gestartet. Laut Angaben von Zoom hat die Firma mit Apple beim Testen ihrer eigenen Aktualisierung "zusammengearbeitet". Zoom soll laut eigenen Angaben vier Millionen Nutzer in 750.000 Firmen haben. Das Werkzeug ist in den USA besonders beliebt und macht Ciscos WebEx Konkurrenz. Mac mini iMac MacBook Air 767,95 € Versand ab 8,99 € Zentrallager: >5 Stück bestellt, wird in 1 Werktagen erwartet Filiale Wilhelmshaven: >5 Stück bestellt, wird in 1 Werktagen erwartet Zum Angebot 767,96 € Versand ab 8,79 € bestellt Zum Angebot 767,97 € Versand ab 8,59 € bestellt Zum Angebot 767,98 € Versand ab 8,39 € bestellt Zum Angebot Weitere Angebote für Apple Mac mini, Core i3-8100B, 8GB RAM, 128GB SSD, Gb LAN [2018] (MRTR2D/A) im Heise‑Preisvergleich 3648,95 € Versand ab 8,99 € Zentrallager: verfügbar, Lieferung 3-5 Werktage Filiale Wilhelmshaven: nicht lagernd Zum Angebot 3648,95 € Versand ab 8,99 € Zentrallager: verfügbar, Lieferung 3-5 Werktage Filiale Wilhelmshaven: nicht lagernd Zum Angebot 3648,95 € Versand ab 8,99 € Zentrallager: verfügbar, Lieferung 3-5 Werktage Filiale Wilhelmshaven: nicht lagernd Zum Angebot 3648,95 € Versand ab 8,99 € Zentrallager: verfügbar, Lieferung 3-5 Werktage Filiale Wilhelmshaven: nicht lagernd Zum Angebot Weitere Angebote für Apple iMac 27", Core i9-9900KF, 8GB RAM, 1TB SSD, Radeon Pro Vega 48 [Early 2019 / Z0VT] im Heise‑Preisvergleich 1019,84 € Versand ab 8,99 € Zentrallager: 1 Stück lagernd, Lieferung 1-3 Werktage Filiale Wilhelmshaven: 1 Stück lagernd Zum Angebot 1019,85 € Versand ab 8,79 € lagernd, Lieferung 1-3 Werktage Zum Angebot 1019,86 € Versand ab 8,59 € lagernd, Lieferung 1-3 Werktage Zum Angebot 1019,87 € Versand ab 8,39 € lagernd, Lieferung 1-3 Werktage Zum Angebot Weitere Angebote für Apple MacBook Air, Core i5-8210Y, 8GB RAM, 128GB SSD, Space Gray [2018] [Z0VD] (MRE82D/A) im Heise‑Preisvergleich (bsc) Zur Startseite Ungewollte Kameraaktivierung: Apple stopft schwere Lücke in Zoom mit Silent Update
- Details
- Heise RSS Feed
- Hauptkategorie: IT News aus aller Welt
- Kategorie: Sicherheitsinfos
Apple hat ein schwerwiegendes Sicherheitsproblem in der Videochat- und Meeting-App Zoom mit einer stillen Aktualisierung des Betriebssystems behoben. Wie der Konzern gegenüber dem IT-Blog TechCrunch bestätigte, entfernt das Silent Update einen von Zoom auf dem lokalen System verankerten Webserver, der auch nach einer Deinstallation der App auf dem Rechner bleibt. Mit ihm ist es Angreifern möglich, die Kamera des Mac aus der Ferne und vom Nutzer unerwünscht zu aktivieren, was höchst problematische Auswirkungen für die Privatsphäre haben kann. Doppelt hält besser Zoom selbst hatte am Mittwochabend ein eigenes Update für seine macOS-Anwendung herausgebracht, die den Webserver löscht; allerdings scheint Apple die Gefahr als so groß eingeschätzt zu haben, dass der Konzern lieber selbst aktiv wurde. Eine Funktion, mit der Signaturupdates für den Systemschutz Gatekeeper eingespielt werden, lässt sich von Apple auch dazu verwenden, sicherheitsrelevante Aktualisierungen auf den Mac zu bringen. Dies geschieht laut Apple ohne Nutzerinteraktion und automatisch. Der Konzern wendet die Funktion allerdings nur in sehr seltenen Fällen an; regulär müssen Nutzer Sicherheitsupdates von Hand installieren, wenn sie die automatische Update-Funktion in den Systemeinstellungen nicht aktiviert haben. Der Sicherheitsexperte Jonathan Leitschuh hatte am Montag das Problem in Zoom offengelegt, nachdem er es dem Videochat-Anbieter gegenüber vor Monaten mitgeteilt hatte. "Jede Website konnte einen Nutzer dazu zwingen, an einem Zoom-Anruf teilzunehmen und die Kamera zu aktivieren, ohne dass er dem zustimmen muss", beschrieb er das Problem. Einen Proof-of-Concept veröffentlichte er ebenfalls. Mit Apple "zusammengearbeitet" Zoom hatte zunächst den Einsatz eines lokalen Webservers verteidigt, weil dieser die Neuinstallation vereinfachen soll. Dann entschied sich das Unternehmen, eine neue Client-Version für macOS zu publizieren, die den Server killt. Apple reichte das laut eigenen Angaben nicht. Mit dem Silent Update schütze man nun frühere und aktuelle Nutzer vor der undokumentierten Webserver-Lücke, so das Unternehmen gegenüber TechCrunch. Die Funktionen der Zoom-App werden dadurch nicht gestört. Videochats werden nun nicht mehr automatisch gestartet. Laut Angaben von Zoom hat die Firma mit Apple beim Testen ihrer eigenen Aktualisierung "zusammengearbeitet". Zoom soll laut eigenen Angaben vier Millionen Nutzer in 750.000 Firmen haben. Das Werkzeug ist in den USA besonders beliebt und macht Ciscos WebEx Konkurrenz. Mac mini iMac MacBook Air 767,95 € Versand ab 8,99 € Zentrallager: >5 Stück bestellt, wird in 1 Werktagen erwartet Filiale Wilhelmshaven: >5 Stück bestellt, wird in 1 Werktagen erwartet Zum Angebot 767,96 € Versand ab 8,79 € bestellt Zum Angebot 767,97 € Versand ab 8,59 € bestellt Zum Angebot 767,98 € Versand ab 8,39 € bestellt Zum Angebot Weitere Angebote für Apple Mac mini, Core i3-8100B, 8GB RAM, 128GB SSD, Gb LAN [2018] (MRTR2D/A) im Heise‑Preisvergleich 3648,95 € Versand ab 8,99 € Zentrallager: verfügbar, Lieferung 3-5 Werktage Filiale Wilhelmshaven: nicht lagernd Zum Angebot 3648,95 € Versand ab 8,99 € Zentrallager: verfügbar, Lieferung 3-5 Werktage Filiale Wilhelmshaven: nicht lagernd Zum Angebot 3648,95 € Versand ab 8,99 € Zentrallager: verfügbar, Lieferung 3-5 Werktage Filiale Wilhelmshaven: nicht lagernd Zum Angebot 3648,95 € Versand ab 8,99 € Zentrallager: verfügbar, Lieferung 3-5 Werktage Filiale Wilhelmshaven: nicht lagernd Zum Angebot Weitere Angebote für Apple iMac 27", Core i9-9900KF, 8GB RAM, 1TB SSD, Radeon Pro Vega 48 [Early 2019 / Z0VT] im Heise‑Preisvergleich 1019,84 € Versand ab 8,99 € Zentrallager: 1 Stück lagernd, Lieferung 1-3 Werktage Filiale Wilhelmshaven: 1 Stück lagernd Zum Angebot 1019,85 € Versand ab 8,79 € lagernd, Lieferung 1-3 Werktage Zum Angebot 1019,86 € Versand ab 8,59 € lagernd, Lieferung 1-3 Werktage Zum Angebot 1019,87 € Versand ab 8,39 € lagernd, Lieferung 1-3 Werktage Zum Angebot Weitere Angebote für Apple MacBook Air, Core i5-8210Y, 8GB RAM, 128GB SSD, Space Gray [2018] [Z0VD] (MRE82D/A) im Heise‑Preisvergleich (bsc) Zur Startseite - Zugriffe: 231