Nous relations mardi un vaste problème de sécurité avec le logiciel de vidéoconférence Zoom pour Mac, qui avait la fâcheuse habitude d’installer un serveur web local ouvert aux quatre vents. Il était alors possible de déclencher un appel vers une machine, qui l’acceptait automatiquement, réinstallant même le client si l’utilisateur l’avait supprimé.
En dépit de plusieurs tentatives de corrections, le problème est resté. Apple prend donc la situation en main et déploie actuellement une mise à jour supprimant tout simplement le serveur web des Mac ayant installé Zoom.
Ce genre de cas est rarissime, mais Zoom dit avoir travaillé avec Apple au test de cette mise à jour. Elle ne s’est donc pas fait « dans le dos » de l’entreprise.
Ce déploiement en dit cependant long sur les pratiques d’un éditeur qui devrait revoir d’urgence son propre mécanisme de mise à jour, fustigé d’ailleurs par le chercheur qui avait découvert le problème. Que le système d’exploitation s’occupe lui-même d’un tel cas n’est jamais rassurant.
Zoom a pour sa part précisé à TechCrunch que le problème serait réglé en interne aujourd’hui. On espère que les prochaines versions du client réviseront en profondeur le modèle de sécurité du serveur web.
Commentaires (1)
#1
C’est à la fois incroyablement rassurant et incroyablement flippant qu’apple puisse déployer une mise à jour sur l’integralité de son parc aussi simplement !