安全研究人员揭示了 Zoom 中可能允许攻击者控制你的 Mac 的漏洞
Zoom 的自动更新选项可以帮助用户确保他们拥有最新、最安全的视频会议软件版本,该软件多年来一直受到众多隐私和安全问题的困扰。安全。然而,一位 Mac 安全研究人员报告了他在该工具中发现的漏洞,攻击者可以利用这些漏洞在今年的 DefCon 期间完全控制受害者的计算机。据Wired报道,Patrick Wardle 在会议期间提出了两个漏洞。他在应用程序的签名验证中找到了第一个,该签名验证了正在安装的更新的完整性,并对其进行检查以确保它是较新版本的 Zoom。换句话说,它负责防止攻击者欺骗自动更新安装程序下载较旧、更易受攻击的应用程序版本。
Wardle 发现攻击者可以通过以某种方式命名恶意文件来绕过签名验证。一旦进入,他们就可以获得 root 访问权限并控制受害者的 Mac。 The Verge 称 Wardle 在 2021 年 12 月向 Zoom 披露了该漏洞,但其部署的补丁包含另一个漏洞。第二个漏洞可能让攻击者绕过备份 Zoom 以确保更新提供应用程序的最新版本。据称,Wardle 发现有可能欺骗一种有助于分发 Zoom 更新的工具,使其接受旧版本的视频会议软件。
Zoom 也修复了这个漏洞,但 Wardle 发现了另一个漏洞,他也在会议上提出了这个漏洞。他发现,在自动安装程序对软件包的验证与实际安装过程之间存在一段时间,允许攻击者将恶意代码注入更新。用于安装的下载包显然可以保留其原始读写权限,允许任何用户对其进行修改。这意味着即使没有 root 访问权限的用户也可以与恶意代码交换其内容并控制目标计算机。
该公司告诉 The Verge,它目前正在努力修复 Wardle 披露的新漏洞。然而,正如Wired 所指出的,攻击者必须拥有对用户设备的现有访问权限才能利用这些漏洞。虽然对大多数人来说没有直接的危险,但 Zoom 建议用户在应用程序发布时“随时了解最新版本”。
Engadget 推荐的所有产品均由我们的编辑团队选择,独立于我们的母公司。我们的一些故事包括附属链接。如果您通过这些链接之一购买商品,我们可能会赚取联属会员佣金。
Zoom 的自动更新选项可以帮助用户确保他们拥有最新、最安全的视频会议软件版本,该软件多年来一直受到众多隐私和安全问题的困扰。安全。然而,一位 Mac 安全研究人员报告了他在该工具中发现的漏洞,攻击者可以利用这些漏洞在今年的 DefCon 期间完全控制受害者的计算机。据Wired报道,Patrick Wardle 在会议期间提出了两个漏洞。他在应用程序的签名验证中找到了第一个,该签名验证了正在安装的更新的完整性,并对其进行检查以确保它是较新版本的 Zoom。换句话说,它负责防止攻击者欺骗自动更新安装程序下载较旧、更易受攻击的应用程序版本。
Wardle 发现攻击者可以通过以某种方式命名恶意文件来绕过签名验证。一旦进入,他们就可以获得 root 访问权限并控制受害者的 Mac。 The Verge 称 Wardle 在 2021 年 12 月向 Zoom 披露了该漏洞,但其部署的补丁包含另一个漏洞。第二个漏洞可能让攻击者绕过备份 Zoom 以确保更新提供应用程序的最新版本。据称,Wardle 发现有可能欺骗一种有助于分发 Zoom 更新的工具,使其接受旧版本的视频会议软件。
Zoom 也修复了这个漏洞,但 Wardle 发现了另一个漏洞,他也在会议上提出了这个漏洞。他发现,在自动安装程序对软件包的验证与实际安装过程之间存在一段时间,允许攻击者将恶意代码注入更新。用于安装的下载包显然可以保留其原始读写权限,允许任何用户对其进行修改。这意味着即使没有 root 访问权限的用户也可以与恶意代码交换其内容并控制目标计算机。
该公司告诉 The Verge,它目前正在努力修复 Wardle 披露的新漏洞。然而,正如Wired 所指出的,攻击者必须拥有对用户设备的现有访问权限才能利用这些漏洞。虽然对大多数人来说没有直接的危险,但 Zoom 建议用户在应用程序发布时“随时了解最新版本”。
Engadget 推荐的所有产品均由我们的编辑团队选择,独立于我们的母公司。我们的一些故事包括附属链接。如果您通过这些链接之一购买商品,我们可能会赚取联属会员佣金。
What's Your Reaction?
