Istraživač sigurnosti otkrio je dvije ranjivosti u alatu za ažuriranje softvera za video pozive Zoom za macOS koje su dopuštale root pristup. Nakon što je tvrtka zakrpala ranjivosti, čovjek je otkrio novu ranjivost.
Sigurnosni istraživač Patrick Wardle podijelio je svoja otkrića na DefCon hakerskom događaju u Las Vegasu. Tamo je objasnio kako zaobići provjeru potpisa Zoomovog alata za automatsko ažuriranje za macOS. U prvoj ranjivosti, CVE-2022-28751, korisnici su samo morali promijeniti naziv datoteke tako da sadrži iste vrijednosti kao certifikat koji je tražio alat za ažuriranje. "Morate samo dati softveru određeno ime i u trenu ste prošli kriptografsku kontrolu", rekao je čovjek za Wired.
Wardle je obavijestio Zoom o ranjivosti krajem 2021., a popravak koji je tvrtka tada objavila sadržavao je novu ranjivost, prema Wardleu. Uspio je natjerati Zoomovu aplikaciju updater.app za macOS da prihvati stariju verziju softvera za videopozive, pa je počela distribuirati tu verziju umjesto najnovije verzije. Zlonamjerne strane iznenada su dobile priliku iskoristiti ranjivosti u starijem Zoom softveru putem ranjivosti CVE2022-22781. Dobio, jer je Zoom sada popravio dvije gornje ranjivosti putem ažuriranja.
Ali Wardle je i tamo pronašao ranjivost, CVE-2022-28756. Prema čovjeku, trenutno je moguće izvršiti promjene u paketu nakon provjere softverskog paketa od strane Zoom instalatera. Softverski paket zadržava svoje dozvole za čitanje i pisanje u macOS-u i još uvijek se može mijenjati između kriptografske provjere i instalacije. Zoom je pak odgovorio na nova Wardleova otkrića. Tvrtka kaže da radi na rješenju.