Изследовател по сигурността открива сериозни уязвимости в Zoom за macOS – Компютър – Новини

Изследовател по сигурността откри две уязвимости в инструмента за актуализиране на софтуера за видеообаждания Zoom за macOS, които позволяват root достъп. След като компанията поправи уязвимостите, мъжът откри нова уязвимост.

Споделете изследователя по сигурността Патрик Уордл неговите резултати На хакерското събитие DefCon в Лас Вегас. Има обяснение как Проверка на подписа От инструмента за автоматично актуализиране на Zoom за macOS. През първата вратичка, CVE-2022-28751Потребителите просто трябваше да променят името на файла, за да съдържа същите стойности на сертификата, които програмата за актуализиране търсеше. „Просто трябва да дадете на програмата определено име и тя ще заобиколи контрола на кодирането за миг,“ Предложете човека в Wired.

Wardle съобщи за уязвимостта на Zoom в края на 2021 г. и поправката, която компанията пусна тогава, съдържаше нова уязвимост, според Wardle. Той успя да накара приложението за актуализиране на Zoom за macOS да приеме по-стара версия на софтуера за видео разговори, така че той започна да разпространява тази версия вместо по-новата. Злонамерените страни внезапно получиха шанс да използват уязвимостите в по-стария софтуер на Zoom чрез уязвимостта CVE2022-22781. Разбрах, защото Zoom вече е коригирал двете уязвимости по-горе чрез актуализация.

Но Wardle също намери уязвимост там, CVE-2022-28756. Според мъжа в момента е възможно да се направят промени в пакета, след като софтуерният пакет бъде проверен от инсталатора на Zoom. Софтуерният пакет запазва своите разрешения за четене и запис в macOS и все още може да бъде модифициран между проверката за криптиране и инсталирането. Междувременно Zoom отговори на новите открития на Wardell. Компанията казва, че работи върху решение.

Мащабиране на macOS

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *