একজন নিরাপত্তা গবেষক ম্যাকোসের জন্য ভিডিও কলিং সফ্টওয়্যার আপডেট টুল জুমের দুটি দুর্বলতা আবিষ্কার করেছেন যা রুট অ্যাক্সেসের অনুমতি দেয়। কোম্পানি দুর্বলতাগুলি প্যাচ করার পরে, লোকটি একটি নতুন দুর্বলতা আবিষ্কার করেছিল।
নিরাপত্তা গবেষক প্যাট্রিক ওয়ার্ডল লাস ভেগাসে DefCon হ্যাকিং ইভেন্টে তার ফলাফলগুলি ভাগ করেছেন। সেখানে, তিনি ব্যাখ্যা করেছেন কিভাবে ম্যাকোসের জন্য জুমের স্বয়ংক্রিয় আপডেট টুলের স্বাক্ষর চেক বাইপাস করা যায়। একটি প্রথম দুর্বলতায়, CVE-2022-28751, ব্যবহারকারীদের শুধুমাত্র একটি ফাইলের ফাইলের নাম পরিবর্তন করতে হয়েছিল যাতে এটিতে শংসাপত্রের মতো একই মান থাকে যা আপডেট টুলটি খুঁজছিল। "আপনাকে শুধুমাত্র সফ্টওয়্যারটিকে একটি নির্দিষ্ট নাম দিতে হবে এবং আপনি কিছুক্ষণের মধ্যেই ক্রিপ্টোগ্রাফিক নিয়ন্ত্রণের অতীত হয়ে গেছেন," লোকটি ওয়্যার্ডকে বলে।
ওয়ার্ডল 2021 সালের শেষের দিকে জুমকে দুর্বলতা সম্পর্কে জানিয়েছিল এবং ওয়ার্ডলের মতে কোম্পানিটি তখন যে ফিক্সটি প্রকাশ করেছিল তাতে একটি নতুন দুর্বলতা রয়েছে। তিনি ভিডিও কলিং সফ্টওয়্যারটির একটি পুরানো সংস্করণ গ্রহণ করার জন্য ম্যাকোসের জন্য Zoom-এর updater.app পেতে সক্ষম হন, তাই এটি সাম্প্রতিক সংস্করণের পরিবর্তে সেই সংস্করণটি বিতরণ করা শুরু করে। ক্ষতিকারক দলগুলিকে হঠাৎ করেই দুর্বলতা CVE2022-22781 এর মাধ্যমে পুরানো জুম সফ্টওয়্যারগুলির দুর্বলতাগুলিকে কাজে লাগানোর সুযোগ দেওয়া হয়েছিল৷ পেয়েছি, কারণ জুম এখন একটি আপডেটের মাধ্যমে উপরের দুটি দুর্বলতা ঠিক করেছে।
কিন্তু Wardle সেখানে একটি দুর্বলতা খুঁজে পেয়েছে, CVE-2022-28756। লোকটির মতে, বর্তমানে জুম ইনস্টলার দ্বারা একটি সফ্টওয়্যার প্যাকেজ যাচাই করার পরে প্যাকেজে পরিবর্তন করা সম্ভব। সফ্টওয়্যার প্যাকেজটি ম্যাকওএস-এ তার পঠন-লিখনের অনুমতি ধরে রাখে এবং এখনও ক্রিপ্টোগ্রাফিক চেক এবং ইনস্টলেশনের মধ্যে পরিবর্তন করা যেতে পারে। জুম, ইতিমধ্যে, ওয়ার্ডলের নতুন প্রকাশের প্রতিক্রিয়া জানিয়েছে। সংস্থাটি বলেছে যে এটি একটি সমাধানের জন্য কাজ করছে।