Tietoturvatutkija on löytänyt MacOS:n videopuheluohjelmiston päivitystyökalusta Zoom kaksi haavoittuvuutta, jotka sallivat pääkäyttäjän oikeudet. Yrityksen korjattua haavoittuvuudet mies löysi uuden haavoittuvuuden.
Tietoturvatutkija Patrick Wardle jakoi havaintojaan DefCon-hakkerointitapahtumassa Las Vegasissa. Siellä hän selitti, kuinka Zoomin macOS:n automaattisen päivitystyökalun allekirjoituksen tarkistus voidaan ohittaa. Ensimmäisessä haavoittuvuudessa, CVE-2022-28751, käyttäjien piti vain muuttaa tiedoston tiedostonimi siten, että se sisälsi samat arvot kuin päivitystyökalun etsimä varmenne. "Sinun täytyy vain antaa ohjelmistolle tietty nimi ja olet ohittanut kryptografisen hallinnan hetkessä", mies kertoi Wiredille.
Wardle oli ilmoittanut Zoomille haavoittuvuudesta vuoden 2021 lopussa, ja yrityksen julkaisema korjaus sisälsi Wardlen mukaan uuden haavoittuvuuden. Hän onnistui saamaan Zoomin updater.appin macOS:lle hyväksymään videopuheluohjelmiston vanhemman version, joten se alkoi levittää kyseistä versiota uusimman version sijaan. Haitallisille osapuolille annettiin yhtäkkiä mahdollisuus hyödyntää vanhemman Zoom-ohjelmiston haavoittuvuuksia haavoittuvuuden CVE2022-22781 kautta. Sain, koska Zoom on nyt korjannut kaksi yllä olevaa haavoittuvuutta päivityksen kautta.
Mutta Wardle löysi sieltä myös haavoittuvuuden, CVE-2022-28756. Miehen mukaan pakettiin on tällä hetkellä mahdollista tehdä muutoksia sen jälkeen, kun Zoom-asentaja on tarkistanut ohjelmistopaketin. Ohjelmistopaketti säilyttää luku- ja kirjoitusoikeutensa macOS:ssä, ja sitä voidaan silti muokata kryptografisen tarkistuksen ja asennuksen välillä. Zoom puolestaan vastasi Wardlen uusiin paljastuksiin. Yhtiö kertoo tekevänsä ratkaisua.