റൂട്ട് ആക്സസ് അനുവദിച്ച MacOS-നുള്ള സൂം എന്ന വീഡിയോ കോളിംഗ് സോഫ്റ്റ്വെയർ അപ്ഡേറ്റ് ടൂളിൽ ഒരു സുരക്ഷാ ഗവേഷകൻ രണ്ട് കേടുപാടുകൾ കണ്ടെത്തി. കമ്പനി അപകടസാധ്യതകൾ പരിഹരിച്ച ശേഷം, ആ മനുഷ്യൻ ഒരു പുതിയ അപകടസാധ്യത കണ്ടെത്തി.
ലാസ് വെഗാസിൽ നടന്ന DefCon ഹാക്കിംഗ് ഇവൻ്റിൽ സുരക്ഷാ ഗവേഷകനായ പാട്രിക് വാർഡിൽ തൻ്റെ കണ്ടെത്തലുകൾ പങ്കിട്ടു. MacOS-നുള്ള സൂമിൻ്റെ ഓട്ടോമാറ്റിക് അപ്ഡേറ്റ് ടൂളിൻ്റെ സിഗ്നേച്ചർ പരിശോധന എങ്ങനെ മറികടക്കാമെന്ന് അദ്ദേഹം അവിടെ വിശദീകരിച്ചു. ആദ്യ അപകടസാധ്യതയിൽ, CVE-2022-28751, ഉപയോക്താക്കൾക്ക് ഒരു ഫയലിൻ്റെ ഫയൽ നാമം മാറ്റേണ്ടി വന്നാൽ അപ്ഡേറ്റ് ടൂൾ തിരയുന്ന സർട്ടിഫിക്കറ്റിൻ്റെ അതേ മൂല്യങ്ങൾ അതിൽ അടങ്ങിയിരിക്കുന്നു. “നിങ്ങൾ സോഫ്റ്റ്വെയറിന് ഒരു നിശ്ചിത പേര് നൽകിയാൽ മതി, നിങ്ങൾ ക്രിപ്റ്റോഗ്രാഫിക് നിയന്ത്രണം കുറച്ചുകഴിഞ്ഞു,” ആ മനുഷ്യൻ വയർഡിനോട് പറഞ്ഞു.
വാർഡിൽ 2021 അവസാനത്തോടെ സൂമിനെ അപകടസാധ്യതയെക്കുറിച്ച് അറിയിച്ചിരുന്നു, തുടർന്ന് കമ്പനി പുറത്തിറക്കിയ പരിഹാരത്തിൽ ഒരു പുതിയ അപകടസാധ്യത അടങ്ങിയിട്ടുണ്ടെന്ന് വാർഡിൽ പറയുന്നു. വീഡിയോ കോളിംഗ് സോഫ്റ്റ്വെയറിൻ്റെ പഴയ പതിപ്പ് സ്വീകരിക്കുന്നതിന് MacOS-നായി Zoom-ൻ്റെ updater.app നേടാൻ അദ്ദേഹത്തിന് കഴിഞ്ഞു, അതിനാൽ ഏറ്റവും പുതിയ പതിപ്പിന് പകരം ആ പതിപ്പ് അത് വിതരണം ചെയ്യാൻ തുടങ്ങി. പഴയ സൂം സോഫ്റ്റ്വെയറിലെ കേടുപാടുകൾ ഉപയോഗപ്പെടുത്താനുള്ള അവസരം ക്ഷുദ്ര കക്ഷികൾക്ക് പെട്ടെന്ന് CVE2022-22781 വഴി നൽകി. മനസ്സിലായി, കാരണം സൂം ഇപ്പോൾ മുകളിലുള്ള രണ്ട് കേടുപാടുകൾ ഒരു അപ്ഡേറ്റ് വഴി പരിഹരിച്ചിരിക്കുന്നു.
പക്ഷേ, CVE-2022-28756 എന്ന ഒരു അപകടസാധ്യതയും വാർഡിൽ കണ്ടെത്തി. മനുഷ്യൻ പറയുന്നതനുസരിച്ച്, സൂം ഇൻസ്റ്റാളർ ഒരു സോഫ്റ്റ്വെയർ പാക്കേജ് പരിശോധിച്ചതിന് ശേഷം പാക്കേജിൽ മാറ്റങ്ങൾ വരുത്തുന്നത് നിലവിൽ സാധ്യമാണ്. സോഫ്റ്റ്വെയർ പാക്കേജ് MacOS-ൽ അതിൻ്റെ റീഡ്-റൈറ്റ് അനുമതികൾ നിലനിർത്തുന്നു, ക്രിപ്റ്റോഗ്രാഫിക് പരിശോധനയ്ക്കും ഇൻസ്റ്റാളേഷനും ഇടയിൽ ഇപ്പോഴും പരിഷ്ക്കരിക്കാനാകും. അതേസമയം, വാർഡലിൻ്റെ പുതിയ വെളിപ്പെടുത്തലുകളോട് സൂം പ്രതികരിച്ചു. ഇതിനുള്ള പരിഹാരത്തിനായി പ്രവർത്തിക്കുകയാണെന്ന് കമ്പനി പറയുന്നു.