Zoom公司于周四修复了两个零日漏洞，仅在安全研究人员在其个人博客上发布该漏洞的一天后。

苹果企业软件供应商Jamf公司首席安全研究员Patrick Wardle在周三的博客中报告了两个Zoom零日漏洞。

第一个漏洞允许本地用户获得macOS版本的Zoom的根级特权–通过Zoom最近发现预安装脚本。简而言之，它会自动安装该应用，而无需用户手动安装。第二个macOS零日漏洞使攻击者能够安装恶意代码，从而使他们能够控制网络摄像头和麦克风。

在最初的博客文章中，Wardle是美国国家安全局的前安全工程师，他没有解释为什么他在未通知该公司或未遵循负责任的披露做法的情况下发布Zoom零日漏洞。

当SearchSecurity要求Zoom公司发表评论时，该公司提供了以下声明：“我们正在积极研究并致力于解决这些问题，我们正在更新我们的安装程序以解决问题，并将更新我们的客户端以缓解麦克风和摄像头的问题。”

在Zoom零日漏洞发布的数小时内，该公司修复了Wardle发现的漏洞，以及本周早些时候披露的另一个漏洞，该漏洞使Windows上的攻击者可以窃取Windows登录凭据并通过单击UNC链接来运行程序。

Zoom公司创始人兼首席执行官Eric Yuan在给用户的公开消息中说，该公司将致力于提供资源以“更好地主动识别、解决和修复问题。”他承诺改善Zoom的当前漏洞赏金计划、执行渗透测试并立即部署功能以“有效利用我们所有的工程资源以专注于我们最大的信任、安全和隐私问题。”

尽管Wardle在博客文章中对Zoom提出了严厉批评，但Wardle在Twitter上向该公司表示了“赞誉”，因为他们在发布补丁方面反应迅速。