უსაფრთხოების მკვლევარმა აღმოაჩინა ორი დაუცველობა ვიდეო ზარის პროგრამული უზრუნველყოფის განახლების ხელსაწყოში Zoom for macOS-ისთვის, რომელიც საშუალებას აძლევდა root წვდომას. მას შემდეგ, რაც კომპანიამ მოწყვლადობა გაასწორა, მამაკაცმა აღმოაჩინა ახალი დაუცველობა.
უსაფრთხოების მკვლევარმა პატრიკ უორდლმა გააზიარა თავისი დასკვნები DefCon ჰაკერების ღონისძიებაზე ლას ვეგასში. იქ მან განმარტა, თუ როგორ უნდა გვერდის ავლით ხელმოწერის შემოწმება Zoom-ის ავტომატური განახლების ხელსაწყოს macOS-ისთვის. პირველ დაუცველობაში, CVE-2022-28751, მომხმარებლებს მხოლოდ ფაილის სახელი უნდა შეეცვალათ ისე, რომ შეიცავდეს იგივე მნიშვნელობებს, რასაც სერთიფიკატი, რომელსაც განახლების ინსტრუმენტი ეძებდა. ”თქვენ უბრალოდ უნდა მიანიჭოთ პროგრამულ უზრუნველყოფას გარკვეული სახელი და კრიპტოგრაფიულ კონტროლს უმოკლეს დროში გადალახავთ”, - უთხრა კაცმა Wired-ს.
Wardle-მა აცნობა Zoom-ს დაუცველობის შესახებ 2021 წლის ბოლოს და შესწორება, რომელიც კომპანიამ მაშინ გამოუშვა, შეიცავდა ახალ დაუცველობას, ამბობს Wardle. მან შეძლო Zoom's updater.app for macOS-ისთვის მიეღო ვიდეო ზარის პროგრამული უზრუნველყოფის ძველი ვერსია, ამიტომ მან დაიწყო ამ ვერსიის გავრცელება უახლესი ვერსიის ნაცვლად. მავნე მხარეებს მოულოდნელად მიეცათ შესაძლებლობა გამოეყენებინათ დაუცველობა ძველ Zoom პროგრამულ უზრუნველყოფაში CVE2022-22781 დაუცველობის საშუალებით. გასაგებია, რადგან Zoom-მა ახლა დააფიქსირა ზემოთ მოცემული ორი დაუცველობა განახლების საშუალებით.
მაგრამ Wardle-მა ასევე აღმოაჩინა დაუცველობა, CVE-2022-28756. მამაკაცის თქმით, ამჟამად შესაძლებელია პაკეტში ცვლილებების შეტანა Zoom ინსტალერის მიერ პროგრამული პაკეტის გადამოწმების შემდეგ. პროგრამული პაკეტი ინარჩუნებს წაკითხვის-ჩაწერის ნებართვას macOS-ში და მისი შეცვლა მაინც შესაძლებელია კრიპტოგრაფიულ შემოწმებასა და ინსტალაციას შორის. Zoom-მა ამასობაში უორდელის ახალ გამოცხადებებს უპასუხა. კომპანიაში აცხადებენ, რომ გამოსავალზე მუშაობს.