昨晚深夜有报道称，Zoom Mac应用发现一个重大漏洞，基本上允许一些网站劫持电脑的网络摄像头。安全研究员Jonathan Leitschuh发现了零日漏洞，他最初在3月份向Zoom报告了该漏洞。Leitschuh最近将该漏洞的详细信息发布到了他的Medium账号上，并详细介绍了该漏洞的工作原理以及对Zoom用户的危害。

总的来说，视频会议应用Zoom安装在Mac上的时候，也会直接在电脑上安装Web服务器。根据The Verge的一份报告，这实际上“接受了一个普通浏览器不会接受的请求”。网络服务器作为后台进程运行，这使得“在没有用户许可和摄像头激活的情况下，强制用户加入Zoom通话”成为可能。

在最初的“中等”帖子中，提供了一个链接来测试此漏洞。这样做将使用户加入电话会议，并且摄像机已经被激活，但是用户不直接接受它。

更糟糕的是，由于Web服务器直接安装在计算机上，即使卸载了Zoom应用程序，它仍然存在。这意味着即使用户不再安装Zoom，该漏洞仍然有效。

如上所述，Leitschuh早在3月份就通知了Zoom该漏洞，研究人员在周一晚上公开披露之前已经总结了这一切的详细时间表。据Leitschuh说，7月8日修复了返回，但他能够很快找到解决办法。

更重要的是，Leitschuh表示，Zoom没有实现有价值的自动更新过程，这意味着许多野生Zoom用户可能正在使用旧版本的软件，并且完全有能力运行此漏洞。

Zoom现已解决问题，并发送了解决问题的更新：

苹果设备上的Zoom应用程序的7月9日补丁已经发布，详情如下。您可能会在Zoom中看到一个弹出窗口来更新客户端，可以从zoom.us/download,下载，或者打开Zoom应用程序窗口，单击屏幕左上角的zoom.us，然后单击来检查更新。检查更新。

公司对此事有完整的博文。如果你是Zoom用户，绝对值得一试。不过，这里有一个小片段，该公司指出，它可以在摄像头禁用zoom客户端时自动激活加入视频会议：

本周有研究员发表了一篇文章，引起了大家对我们视频体验的关注。他担心如果攻击者能够诱导目标Zoom用户点击指向攻击者Zoom Meeting ID URL的Web链接，目标用户可能会在不知情的情况下加入攻击者的Zoom Meeting。如果用户在加入会议时没有将其Zoom客户端配置为禁用视频，攻击者可能能够查看用户的视频源。值得注意的是，我们没有迹象表明这种情况曾经发生过。

考虑到这一点，我们决定给用户更多的视频设置控制权。作为我们即将于2019年7月发布的版本的一部分，Zoom将应用并保存用户从第一次Zoom会议到未来所有Zoom会议的视频偏好。用户和系统管理员仍然可以配置他们的客户端视频设置，以便在加入会议时关闭视频。这一更改将适用于所有客户端平台。

现在，如果你好奇并想检查Zoom漏洞以及如何清除它(并且你不介意使用终端应用程序)，Glen Maddern在Twitter上的帖子是一个很好的起点：

Zoom被认为是目前最好的视频会议应用和服务之一，但它是一个巨大的漏洞。尽管如此，Zoom可能会很快反弹，尤其是如果它能够升级其自动更新机制，以实际确保新补丁在更多计算机上运行。