Patrick Wardle, ein leitender Sicherheitsforscher, der für die NSA arbeitet, In der Mac-App von Zoom eine Schwachstelle gefunden. Es ermöglicht dem Angreifer, Root-Zugriff zu erlangen und das gesamte Betriebssystem zu kontrollieren.
Zoom bringt die Gestenerkennung auf den Desktop
Es nutzt den Fehler im Auto-Updater aus
Der Angriff erforderte spezielle Benutzerberechtigungen, um Zoom auf einem Mac-Computer installieren oder deinstallieren zu können. Aus dem Zoom macOS-Installationsprogramm funktioniert durch Nutzung Der Installer erfordert die Eingabe eines Benutzerpassworts, aber Wardle lässt dann die Auto-Update-Funktion zu. mit Superuser-RechtenEs heißt, dass es die ganze Zeit im Hintergrund läuft.
Patch ist keine Lösung
Wenn Zoom ein Update veröffentlicht, wird es vom automatischen Updater genehmigt, und dann beginnt der Installationsprozess. Ein Fehler in der Validierungsmethode ermöglicht es dem Angreifer jedoch, den Updater nach Belieben einzustellen. Da der Updater mit autorisierten Benutzerrechten läuft, weist Wardle darauf hin, dass ein Angreifer jedes Programm über die Update-Funktion ausführen könnte. Interessanterweise hat Zoom diese Schwachstelle zwar gemeldet und eine Lösung bereitgestellt, aber Zoom hat gerade den Patch veröffentlicht, aber das Problem besteht weiterhin.
Bei der Schwachstelle, die in Zooms neuestem Update noch aktiv sein soll, handelt es sich um einen Angriff eines Angreifers auf einen Mac-Rechner. Wurzeloder Superuser erlaubt ihm, das Privileg zu erlangen. Das bedeutet, dass theoretisch jede Datei auf dem Computer ohne Erlaubnis gelöscht, geändert oder eine neue Datei hinzugefügt werden kann.
Aktualisierung nicht freigegeben
Der PR-Leiter für Sicherheit und Datenschutz von Zoom sagt, dass ihm die Schwachstelle des automatischen Updaters in der Mac-Version von Zoom bekannt ist und daran gearbeitet wird, sie zu schließen.
