एका सुरक्षा संशोधकाने macOS साठी व्हिडिओ कॉलिंग सॉफ्टवेअर अपडेट टूल झूममध्ये दोन असुरक्षा शोधल्या आहेत ज्याने रूट ऍक्सेसची परवानगी दिली आहे. कंपनीने असुरक्षा पॅच केल्यानंतर, माणसाला एक नवीन भेद्यता सापडली.
सुरक्षा संशोधक पॅट्रिक वॉर्डल यांनी लास वेगासमधील DefCon हॅकिंग इव्हेंटमध्ये त्यांचे निष्कर्ष शेअर केले. तेथे, त्यांनी macOS साठी झूमच्या स्वयंचलित अपडेट टूलच्या स्वाक्षरी तपासणीला कसे बायपास करायचे ते स्पष्ट केले. पहिल्या असुरक्षिततेमध्ये, CVE-2022-28751, वापरकर्त्यांना फक्त फाइलचे फाइलनाव बदलायचे होते जेणेकरून त्यात अपडेट टूल शोधत असलेल्या प्रमाणपत्रासारखीच मूल्ये असतील. “तुम्हाला सॉफ्टवेअरला एक विशिष्ट नाव द्यावे लागेल आणि तुम्ही काही वेळातच क्रिप्टोग्राफिक नियंत्रण सोडले आहे,” त्या माणसाने वायर्डला सांगितले.
वॉर्डलने 2021 च्या अखेरीस झूमला असुरक्षिततेबद्दल माहिती दिली होती आणि त्यानंतर कंपनीने जारी केलेल्या फिक्समध्ये नवीन असुरक्षा आहे, असे वॉर्डलच्या म्हणण्यानुसार. तो व्हिडिओ कॉलिंग सॉफ्टवेअरची जुनी आवृत्ती स्वीकारण्यासाठी macOS साठी Zoom चे updater.app मिळवू शकला, म्हणून त्याने सर्वात अलीकडील आवृत्तीऐवजी ती आवृत्ती वितरित करण्यास सुरुवात केली. दुर्भावनापूर्ण पक्षांना असुरक्षितता CVE2022-22781 द्वारे जुन्या झूम सॉफ्टवेअरमधील भेद्यता वापरण्याची संधी अचानक दिली गेली. मिळाले, कारण झूमने आता अपडेटद्वारे वरील दोन भेद्यता निश्चित केल्या आहेत.
पण वॉर्डलला तिथेही एक असुरक्षितता आढळली, CVE-2022-28756. मनुष्याच्या मते, झूम इंस्टॉलरद्वारे सॉफ्टवेअर पॅकेजची पडताळणी केल्यानंतर पॅकेजमध्ये बदल करणे सध्या शक्य आहे. सॉफ्टवेअर पॅकेज मॅकओएसमध्ये त्याच्या वाचन-लेखन परवानग्या राखून ठेवते आणि तरीही क्रिप्टोग्राफिक तपासणी आणि इंस्टॉलेशन दरम्यान सुधारित केले जाऊ शकते. दरम्यान, झूमने वॉर्डलच्या नवीन खुलाशांना प्रतिसाद दिला. कंपनीचे म्हणणे आहे की ते यावर उपाय शोधत आहे.