Un chercheur en sécurité a découvert deux vulnérabilités dans l'outil de mise à jour du logiciel d'appel vidéo Zoom pour macOS qui permettait un accès root. Après que l'entreprise ait corrigé les vulnérabilités, l'homme a découvert une nouvelle vulnérabilité.
Le chercheur en sécurité Patrick Wardle a partagé ses découvertes lors de l'événement de piratage DefCon à Las Vegas. Là, il a expliqué comment contourner la vérification de signature de l'outil de mise à jour automatique de Zoom pour macOS. Dans une première vulnérabilité, CVE-2022-28751, les utilisateurs n'avaient qu'à changer le nom de fichier d'un fichier pour qu'il contienne les mêmes valeurs que le certificat recherché par l'outil de mise à jour. "Il vous suffit de donner un certain nom au logiciel et vous passez le contrôle cryptographique en un rien de temps", a déclaré l'homme à Wired.
Wardle avait informé Zoom de la vulnérabilité fin 2021 et le correctif que la société avait publié contenait alors une nouvelle vulnérabilité, selon Wardle. Il a réussi à faire en sorte que l'application de mise à jour de Zoom pour macOS accepte une ancienne version du logiciel d'appel vidéo, il a donc commencé à distribuer cette version au lieu de la version la plus récente. Des parties malveillantes ont soudainement eu la possibilité d'exploiter les vulnérabilités des anciens logiciels Zoom via la vulnérabilité CVE2022-22781. Compris, car Zoom a maintenant corrigé les deux vulnérabilités ci-dessus via une mise à jour.
Mais Wardle y a également trouvé une vulnérabilité, CVE-2022-28756. Selon l'homme, il est actuellement possible d'apporter des modifications au package après vérification d'un package logiciel par l'installateur de Zoom. Le progiciel conserve ses autorisations de lecture-écriture dans macOS et peut toujours être modifié entre la vérification cryptographique et l'installation. Zoom, quant à lui, a répondu aux nouvelles révélations de Wardle. L'entreprise dit qu'elle travaille sur une solution.