Անվտանգության հետազոտողը հայտնաբերել է երկու խոցելիություն տեսազանգերի ծրագրային ապահովման թարմացման գործիքում՝ «MacOS»-ի համար, որը թույլ է տվել արմատային հասանելիություն: Այն բանից հետո, երբ ընկերությունը կարկատել է խոցելիությունը, տղամարդը հայտնաբերել է նոր խոցելիություն:
Անվտանգության հետազոտող Պատրիկ Ուորդլը կիսվել է Լաս Վեգասում անցկացված DefCon հաքերային միջոցառման իր բացահայտումներով: Այնտեղ նա բացատրեց, թե ինչպես կարելի է շրջանցել MacOS-ի համար Zoom-ի ավտոմատ թարմացման գործիքի ստորագրության ստուգումը։ Առաջին խոցելիության դեպքում՝ CVE-2022-28751, օգտվողները պետք է փոխեին միայն ֆայլի ֆայլի անունը, որպեսզի այն պարունակի նույն արժեքները, ինչ սերտիֆիկատը, որը փնտրում էր թարմացման գործիքը: «Պարզապես պետք է ծրագրաշարին որոշակի անուն տաս, և դու շուտով կանցնես գաղտնագրային հսկողությունը», - ասաց տղամարդը Wired-ին:
Wardle-ը Zoom-ին տեղեկացրել էր խոցելիության մասին 2021-ի վերջին, և այն շտկումը, որը ընկերությունը թողարկել էր այն ժամանակ, պարունակում էր նոր խոցելիություն, ըստ Wardle-ի: Նա կարողացավ ստանալ Zoom-ի updater.app-ը macOS-ի համար, որպեսզի ընդունի տեսազանգերի ծրագրաշարի ավելի հին տարբերակը, ուստի այն սկսեց տարածել այդ տարբերակը ամենավերջին տարբերակի փոխարեն: Վնասակար կողմերին հանկարծակի հնարավորություն տրվեց օգտագործել խոցելիությունը Zoom-ի հին ծրագրաշարում՝ CVE2022-22781 խոցելիության միջոցով: Պարզվեց, քանի որ Zoom-ն այժմ թարմացրել է վերը նշված երկու խոցելիությունը:
Բայց Ուորդլը նաև խոցելիություն գտավ այնտեղ՝ CVE-2022-28756: Տղամարդու խոսքով՝ ներկայումս փաթեթում հնարավոր է փոփոխություններ կատարել Zoom տեղադրողի կողմից ծրագրային փաթեթի ստուգումից հետո։ Ծրագրային փաթեթը պահպանում է իր կարդալ-գրելու թույլտվությունները macOS-ում և դեռ կարող է փոփոխվել գաղտնագրման ստուգման և տեղադրման միջև: Zoom-ը, մինչդեռ, արձագանքել է Ուորդլի նոր բացահայտումներին։ Ընկերությունն ասում է, որ լուծում է աշխատում: