视讯会议软件Zoom遭爆料，其Mac客户端存在零时差漏洞，且处理漏洞态度消极。该讯息揭露迫使Zoom官方在博客紧急做出回应，表示新版本将会删除有安全疑虑的本地主机（Localhost）网页服务器，并且让用户在解除安装程序时，能够移除本地主机网页服务器，另外，安全人员也质疑Zoom私密漏洞奖励计画，官方也承诺将会推出公开漏洞奖励计画，并完善漏洞回报讯息与管道。

资安研究员Jonathan Leitschuh在博客，揭露Zoom的Mac客户端应用程式漏洞，引来社群对Zoom激烈的抗议。Jonathan Leitschuh提到，Zoom的使用者在Mac上可能遭受DoS以及资讯泄露攻击，而且Zoom透过在用户电脑安装无法移除的本地主机网页服务器，让任何网页都可以跟Zoom应用程式构通，这是非常危险的作法。Jonathan Leitschuh在3月的时候向Zoom回报这两个漏洞，但Zoom只在Mac版本的Zoom客户端4.4.2修复DoS漏洞，而未经用户同意，网页就能启动摄影机的资讯泄露漏洞则未修补。

网络上大批的抗议声浪，让Zoom不得不进一步回应用户的意见。现在Mac装置上的Zoom客户端会收到更新讯息，通知用户更新最新版本的应用程式，在用户完成更新后，系统将移除系统上的本地主机网页服务器，而且还在Zoom解除安装程序中，加入完全移除本地主机网页服务器的选项，还会连带一并删除使用者储存的设定。

另外，Zoom预计还会在7月时发布一次更新，修正Zoom预设启用摄影机的选项，用户未来安装该更新版本，在第一次选择始终关闭摄影机的选项后，系统便会自动保存为视讯偏好选项，而用户也可以随时在视讯设定中，预设关闭摄影机。Zoom提到，研究人员Jonathan Leitschuh认为用户有机会点击攻击者提供的恶意网页连结，在未知的情况启动摄影机，而他们目前还未观察到任何相关案例发生，不过为了安全起见，在7月将发布的更新还是会做出修正。

Zoom也说明了之所以会在Mac中安装本地主机网页服务器的原因，是为了要减少用户启动Zoom会议的手续，因为Safari 12的安全性变更，使得用户在加入Zoom会议的时候，需要多一道确认手续，才能启动Zoom客户端，而本地主机网页服务器是用来减少用户这类额外的点击动作，提高使用者体验，Zoom提到，Mac装置上的本地主机网页服务器功能有限，也只能回应本地计算机的请求，而且他们并非是唯一采用这种启动视讯会议方式的供应商。

而回应Jonathan Leitschuh抨击Zoom在解决漏洞时的消极态度，Zoom官方提到，之所以没有积极修补，是因为经过他们与其他研究人员评估，认为预设启用摄影机是个低风险的漏洞，才会决定不更改设定。而Zoom在5月时修补的DoS漏洞，虽然他们发出了更新应用程式，但是并未强制用户安装，也是因为他们同样认为，这是一个低风险的漏洞，至今尚未有用户因无限的加入会议请求，而导致系统遭到锁定。

资料来源：iThome Security