Аюулгүй байдлын судлаач видео дуудлагын программ хангамжийг шинэчлэх хэрэгсэлд MacOS-д зориулсан Zoom-д root хандалтыг зөвшөөрсөн хоёр сул талыг илрүүлжээ. Компани эмзэг байдлыг зассаны дараа тэр хүн шинэ сул талыг олж илрүүлжээ.
Аюулгүй байдлын судлаач Патрик Уордл Лас Вегаст болсон DefCon хакердах арга хэмжээний үеэр олж мэдсэнээ хуваалцжээ. Тэнд тэрээр macOS-д зориулсан Zoom-ийн автомат шинэчлэлтийн хэрэгслийн гарын үсгийн шалгалтыг хэрхэн тойрч гарах талаар тайлбарлав. Эхний эмзэг байдал болох CVE-2022-28751-д хэрэглэгчид зөвхөн файлын нэрийг өөрчлөх шаардлагатай байсан бөгөөд энэ нь шинэчлэх хэрэглүүрийн хайж байсан гэрчилгээтэй ижил утгыг агуулна. "Та зүгээр л програм хангамжид тодорхой нэр өгөх хэрэгтэй бөгөөд та богино хугацаанд криптографийн хяналтаас гарах болно" гэж тэр хүн Wired-д хэлэв.
Уордл 2021 оны сүүлчээр Zoom-д эмзэг байдлын талаар мэдээлсэн бөгөөд тус компанийн гаргасан засвар нь шинэ эмзэг байдлыг агуулсан гэж Уордл хэлэв. Тэрээр macOS-д зориулсан Zoom-ийн updater.app-г авч, видео дуудлага хийх программ хангамжийн хуучин хувилбарыг хүлээн авсан тул хамгийн сүүлийн хувилбарын оронд тэр хувилбарыг түгээж эхэлсэн. CVE2022-22781-ээр дамжуулан хуучин Zoom программ хангамжийн эмзэг байдлыг ашиглах боломжийг хорлонтой талуудад гэнэт олгосон. Ойлголоо, учир нь Zoom нь дээрх хоёр эмзэг байдлыг шинэчлэлтээр зассан.
Гэхдээ Уордл эндээс CVE-2022-28756 сул талыг олж илрүүлжээ. Тэр хүний хэлснээр одоогоор Zoom суулгагчаар програмын багцыг баталгаажуулсны дараа багцад өөрчлөлт оруулах боломжтой. Програм хангамжийн багц нь macOS дээр унших, бичих зөвшөөрлөө хадгалдаг бөгөөд криптографийн шалгалт болон суулгацын хооронд өөрчлөх боломжтой хэвээр байна. Үүний зэрэгцээ Zoom нь Уордлийн шинэ илчлэлтүүдэд хариу өгсөн. Тус компани шийдэл дээр ажиллаж байгаа гэж мэдэгдэв.