Исследователь безопасности выявил недостатки в Zoom, которые могли позволить злоумышленникам получить контроль над вашим Mac
Функция автоматического обновления Zoom может помочь пользователям убедиться, что у них установлена самая последняя и самая безопасная версия программного обеспечения для видеоконференций, которое на протяжении многих лет страдало от многочисленных проблем с конфиденциальностью и безопасностью. Однако исследователь безопасности Mac сообщил об уязвимостях, которые он нашел в инструменте, которые злоумышленники могли использовать, чтобы получить полный контроль над компьютером жертвы во время DefCon этого года. Согласно Wired, во время конференции Патрик Уордл представил две уязвимости. Он нашел первую в проверке подписи приложения, которая подтверждает целостность устанавливаемого обновления и проверяет его, чтобы убедиться, что это более новая версия Zoom. Другими словами, он отвечает за то, чтобы злоумышленники не обманули программу автоматической установки обновлений и загрузили более старую, более уязвимую версию приложения.
Уордл обнаружил, что злоумышленники могут обойти проверку подписи, назвав свой вредоносный файл определенным образом. Оказавшись внутри, они могли получить root-доступ и управлять Mac жертвы. The Verge сообщает, что Уордл сообщил об ошибке Zoom в декабре 2021 года, но выпущенный патч содержал другую ошибку. Эта вторая уязвимость могла дать злоумышленникам возможность обойти защиту Zoom, установленную для обеспечения того, чтобы обновление предоставляло последнюю версию приложения. Уордл якобы обнаружил, что можно обмануть инструмент, облегчающий распространение обновлений Zoom, чтобы принять более старую версию программного обеспечения для видеоконференций.
Zoom также исправил эту уязвимость, но Уордл нашел еще одну уязвимость, которую также представил на конференции. Он обнаружил, что между проверкой программного пакета автоустановщиком и фактическим процессом установки есть момент, который позволяет злоумышленнику внедрить вредоносный код в обновление. Загруженный пакет, предназначенный для установки, по-видимому, может сохранить исходные права на чтение и запись, позволяя любому пользователю изменять его. Это означает, что даже пользователи без root-доступа могут заменить его содержимое вредоносным кодом и получить контроль над целевым компьютером.
Компания сообщила The Verge, что в настоящее время работает над исправлением новой уязвимости, о которой сообщил Уордл. Однако, как отмечает Wired, злоумышленники должны иметь существующий доступ к устройству пользователя, чтобы использовать эти недостатки. Хотя для большинства людей непосредственной опасности нет, Zoom советует пользователям «оставаться в курсе последних версий» приложения, когда оно выходит.
Все продукты, рекомендованные Engadget, выбираются нашей редакционной группой независимо от нашей материнской компании. Некоторые из наших историй содержат партнерские ссылки. Если вы приобретете что-либо по одной из этих ссылок, мы можем получить партнерскую комиссию.
Функция автоматического обновления Zoom может помочь пользователям убедиться, что у них установлена самая последняя и самая безопасная версия программного обеспечения для видеоконференций, которое на протяжении многих лет страдало от многочисленных проблем с конфиденциальностью и безопасностью. Однако исследователь безопасности Mac сообщил об уязвимостях, которые он нашел в инструменте, которые злоумышленники могли использовать, чтобы получить полный контроль над компьютером жертвы во время DefCon этого года. Согласно Wired, во время конференции Патрик Уордл представил две уязвимости. Он нашел первую в проверке подписи приложения, которая подтверждает целостность устанавливаемого обновления и проверяет его, чтобы убедиться, что это более новая версия Zoom. Другими словами, он отвечает за то, чтобы злоумышленники не обманули программу автоматической установки обновлений и загрузили более старую, более уязвимую версию приложения.
Уордл обнаружил, что злоумышленники могут обойти проверку подписи, назвав свой вредоносный файл определенным образом. Оказавшись внутри, они могли получить root-доступ и управлять Mac жертвы. The Verge сообщает, что Уордл сообщил об ошибке Zoom в декабре 2021 года, но выпущенный патч содержал другую ошибку. Эта вторая уязвимость могла дать злоумышленникам возможность обойти защиту Zoom, установленную для обеспечения того, чтобы обновление предоставляло последнюю версию приложения. Уордл якобы обнаружил, что можно обмануть инструмент, облегчающий распространение обновлений Zoom, чтобы принять более старую версию программного обеспечения для видеоконференций.
Zoom также исправил эту уязвимость, но Уордл нашел еще одну уязвимость, которую также представил на конференции. Он обнаружил, что между проверкой программного пакета автоустановщиком и фактическим процессом установки есть момент, который позволяет злоумышленнику внедрить вредоносный код в обновление. Загруженный пакет, предназначенный для установки, по-видимому, может сохранить исходные права на чтение и запись, позволяя любому пользователю изменять его. Это означает, что даже пользователи без root-доступа могут заменить его содержимое вредоносным кодом и получить контроль над целевым компьютером.
Компания сообщила The Verge, что в настоящее время работает над исправлением новой уязвимости, о которой сообщил Уордл. Однако, как отмечает Wired, злоумышленники должны иметь существующий доступ к устройству пользователя, чтобы использовать эти недостатки. Хотя для большинства людей непосредственной опасности нет, Zoom советует пользователям «оставаться в курсе последних версий» приложения, когда оно выходит.
Все продукты, рекомендованные Engadget, выбираются нашей редакционной группой независимо от нашей материнской компании. Некоторые из наших историй содержат партнерские ссылки. Если вы приобретете что-либо по одной из этих ссылок, мы можем получить партнерскую комиссию.
What's Your Reaction?
