Lêkolînerek ewlehiyê di amûra nûvekirina nermalava bangewaziya vîdyoyê ya Zoom-ê de ji bo macOS-ê du qelsî keşif kir ku destûr da gihîştina root. Piştî ku pargîdanî qelsî paqij kir, zilam qelsiyek nû kifş kir.
Lêkolînerê ewlehiyê Patrick Wardle di bûyera hackkirina DefCon a li Las Vegas de encamên xwe parve kir. Li wir, wî rave kir ku meriv çawa ji bo macOS-ê kontrolkirina îmzeya amûra nûvekirina otomatîkî ya Zoom-ê derbas dike. Di qelsiyek yekem de, CVE-2022-28751, bikarhêner tenê neçar bûn ku navê pelê biguhezînin da ku ew heman nirxên ku sertîfîkaya ku amûra nûvekirinê lê digeriya dihewîne. "Tenê pêdivî ye ku hûn navek diyarkirî bidin nermalavê û hûn di demek kurt de ji kontrola krîptografî derbas bûne," zilam ji Wired re got.
Wardle di dawiya sala 2021-an de Zoom di derbarê qelsbûnê de agahdar kiribû û sererastkirina ku pargîdanî wê hingê derxistibû qelsiyek nû, li gorî Wardle. Wî karîbû Zoom's updater.app-ê ji bo macOS-ê bigire ku guhertoyek kevntir a nermalava bangkirina vîdyoyê qebûl bike, ji ber vê yekê wê dest bi belavkirina wê guhertoyê li şûna guhertoya herî dawî kir. Partiyên xerab ji nişka ve fersend hat dayîn ku bi qelsiya CVE2022-22781 ve qelsiyên di nermalava Zoom kevintir de bikar bînin. Got, ji ber ku Zoom naha du qelsiyên li jor bi nûvekirinek rast kiriye.
Lê Wardle li wir jî qelsiyek dît, CVE-2022-28756. Li gorî mêrik, niha mimkun e ku piştî verastkirina pakêtek nermalavê ji hêla sazkerê Zoom-ê ve di pakêtê de guhertin çêbibin. Pakêta nermalavê destûrên xwe yên xwendin-nivîsandinê di macOS-ê de digire û hîn jî dikare di navbera kontrolkirina krîptografî û sazkirinê de were guheztin. Di vê navberê de, Zoom bersiv da eşkerekirinên nû yên Wardle. Şirket dibêje ku ew li ser çareseriyê dixebite.