Коопсуздук изилдөөчүсү видео чалуу программасын жаңыртуу куралында MacOS үчүн Zoom'дун тамырга кирүү мүмкүнчүлүгүн берген эки кемчиликти тапты. Компания алсыздыктарды оңдогондон кийин, адам жаңы кемчиликти тапты.
Коопсуздук боюнча изилдөөчү Патрик Уордл Лас-Вегастагы DefCon хакердик иш-чарасында өзүнүн жыйынтыктары менен бөлүштү. Ал жерде ал MacOS үчүн Zoomдун автоматтык жаңыртуу куралынын кол текшерүүсүн кантип кыйгап өтүүнү түшүндүрдү. CVE-2022-28751 деген биринчи кемчиликте колдонуучулар файлдын атын өзгөртүүгө гана туура келген, андыктан ал жаңыртуу куралы издеп жаткан сертификат менен бирдей маанилерди камтыган. "Сиз жөн гана программалык камсыздоого белгилүү бир ат беришиңиз керек жана сиз криптографиялык башкаруудан кыска убакыттын ичинде өтүп кетесиз" деди ал киши Wiredге.
Уордл 2021-жылдын аягында Zoom компаниясына алсыздык жөнүндө маалымат берген жана компания чыгарган оңдоодо жаңы кемчилик камтылган, дейт Уордл. Ал видео чалуу программасынын эски версиясын кабыл алуу үчүн macOS үчүн Zoom'дун updater.app колдонмосун ала алды, ошондуктан ал эң акыркы версиянын ордуна ошол версияны тарата баштады. Зыяндуу тараптарга күтүлбөгөн жерден CVE2022-22781 аялуулугу аркылуу эски Zoom программасынын чабал жактарын пайдалануу мүмкүнчүлүгү берилди. Түшүндүм, анткени Zoom жаңыртуу аркылуу жогорудагы эки кемчиликти оңдоду.
Бирок Уордл дагы ал жерде CVE-2022-28756 аялуулугун тапты. Ал кишинин айтымында, учурда Zoom орнотуучусу программалык пакетти текшергенден кийин пакетке өзгөртүүлөрдү киргизүүгө болот. Программалык пакет MacOSто окуу-жазуу уруксаттарын сактап калат жана аны криптографиялык текшерүү менен орнотуунун ортосунда дагы эле өзгөртүүгө болот. Ошол эле учурда Zoom Уордлдун жаңы ачылыштарына жооп берди. Компания бул маселени чечүүнүн үстүндө иштеп жатканын билдирди.