Apple heeft een update voor macOS uitgerold die bij gebruikers van videoconferentiesoftware Zoom de geïnstalleerde webserver verwijdert. De software van Zoom zou door meer dan 750.000 bedrijven wereldwijd worden gebruikt en meer dan 40 miljoen gebruikers hebben.

Beveiligingsonderzoeker Jonathan Leitschuh ontdekte dat het mogelijk was om gebruikers zonder enige interactie aan gesprek te laten deelnemen, waarbij hun webcam werd ingeschakeld. Daarnaast bleek dat Zoom bij macOS-gebruikers een webserver installeert. Bij het verwijderen van Zoom bleef deze webserver gewoon geinstalleerd en actief. Via deze achtergebleven webserver was het mogelijk voor websites om zonder interactie van gebruikers de Zoom-software opnieuw te installeren en zou een mogelijkheid kunnen bieden om op afstand willekeurige code uit te voeren.

Naar aanleiding van de gevonden kwetsbaarheden stelde Zoom dat het voor gebruikers zo eenvoudig mogelijk moet zijn om aan meetings en gesprekken deel te nemen. Het probleem met de webserver zou dan ook niet worden verholpen. Wel zou er een update uitkomen die de video-instelling van de eerste Zoom-meeting zal onthouden. Na een golf van kritiek kwam het bedrijf toch met een update die de webserver verwijdert.

Zoom laat nu via de eigen website weten dat Apple een update heeft uitgerold die de Zoom-webserver verwijdert, ook als de gebruiker de Zoom-app niet heeft geüpdatet of verwijderd. Apple en Zoom werkten samen bij het testen van de update, die automatisch bij macOS-gebruikers wordt geïnstalleerd. Daarnaast verschijnt er dit weekend een update van Zoom die zal onthouden als gebruikers bij hun eerste Zoom-gesprek de webcam uitschakelen.