Technology

Kritische Schwachstelle in Zoom Mac App: Voller Zugriff auf System!

Patrick Wardle, ein leitender Sicherheitsforscher, der für die NSA arbeitet, In der Mac-App von Zoom eine Schwachstelle gefunden. Es ermöglicht dem Angreifer, Root-Zugriff zu erlangen und das gesamte Betriebssystem zu kontrollieren.

Zoom bringt die Gestenerkennung auf den Desktop

Vor 3 Monaten hinzugefügt

Es nutzt den Fehler im Auto-Updater aus

Der Angriff erforderte spezielle Benutzerberechtigungen, um Zoom auf einem Mac-Computer installieren oder deinstallieren zu können. Aus dem Zoom macOS-Installationsprogramm funktioniert durch Nutzung Der Installer erfordert die Eingabe eines Benutzerpassworts, aber Wardle lässt dann die Auto-Update-Funktion zu. mit Superuser-RechtenEs heißt, dass es die ganze Zeit im Hintergrund läuft.

Patch ist keine Lösung

Wenn Zoom ein Update veröffentlicht, wird es vom automatischen Updater genehmigt, und dann beginnt der Installationsprozess. Ein Fehler in der Validierungsmethode ermöglicht es dem Angreifer jedoch, den Updater nach Belieben einzustellen. Da der Updater mit autorisierten Benutzerrechten läuft, weist Wardle darauf hin, dass ein Angreifer jedes Programm über die Update-Funktion ausführen könnte. Interessanterweise hat Zoom diese Schwachstelle zwar gemeldet und eine Lösung bereitgestellt, aber Zoom hat gerade den Patch veröffentlicht, aber das Problem besteht weiterhin.

Bei der Schwachstelle, die in Zooms neuestem Update noch aktiv sein soll, handelt es sich um einen Angriff eines Angreifers auf einen Mac-Rechner. Wurzeloder Superuser erlaubt ihm, das Privileg zu erlangen. Das bedeutet, dass theoretisch jede Datei auf dem Computer ohne Erlaubnis gelöscht, geändert oder eine neue Datei hinzugefügt werden kann.

Aktualisierung nicht freigegeben

Der PR-Leiter für Sicherheit und Datenschutz von Zoom sagt, dass ihm die Schwachstelle des automatischen Updaters in der Mac-Version von Zoom bekannt ist und daran gearbeitet wird, sie zu schließen.

Tags

Related Articles

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Back to top button
Close