Riċerkatur tas-sigurtà skopra żewġ vulnerabbiltajiet fl-għodda tal-aġġornament tas-softwer tas-sejħiet bil-vidjo Zoom għal macOS li ppermettew aċċess għall-għeruq. Wara li l-kumpanija pattjat il-vulnerabbiltajiet, ir-raġel skopra vulnerabbiltà ġdida.
Ir-riċerkatur tas-sigurtà Patrick Wardle qasam is-sejbiet tiegħu fl-avveniment tal-hacking tad-DefCon f'Las Vegas. Hemmhekk, huwa spjega kif tevita l-kontroll tal-firma tal-għodda ta 'aġġornament awtomatiku ta' Zoom għal macOS. Fl-ewwel vulnerabbiltà, CVE-2022-28751, l-utenti kellhom biss jibdlu l-isem tal-fajl ta 'fajl sabiex ikun fih l-istess valuri bħaċ-ċertifikat li l-għodda ta' aġġornament kienet qed tfittex. “Int trid tagħti lis-software ċertu isem u int passat il-kontroll kriptografiku fl-ebda ħin,” qal ir-raġel lil Wired.
Wardle kien għarraf lil Zoom dwar il-vulnerabbiltà fl-aħħar tal-2021 u s-soluzzjoni li kienet ħarġet il-kumpanija mbagħad kien fiha vulnerabbiltà ġdida, skont Wardle. Huwa seta 'jikseb updater.app ta' Zoom għal macOS biex jaċċetta verżjoni eqdem tas-software tas-sejħiet bil-vidjo, għalhekk beda jqassam dik il-verżjoni minflok l-aktar verżjoni reċenti. Partijiet malizzjużi f'daqqa ngħataw l-opportunità li jisfruttaw il-vulnerabbiltajiet f'softwer Zoom antik permezz tal-vulnerabbiltà CVE2022-22781. Ghandek, għaliex Zoom issa rranġa ż-żewġ vulnerabbiltajiet ta 'hawn fuq permezz ta' aġġornament.
Iżda Wardle sab ukoll vulnerabbiltà hemmhekk, CVE-2022-28756. Skont ir-raġel, bħalissa huwa possibbli li jsiru bidliet fil-pakkett wara verifika ta 'pakkett tas-softwer mill-installatur ta' Zoom. Il-pakkett tas-softwer iżomm il-permessi tal-qari u l-kitba tiegħu f'macOS u xorta jista' jiġi modifikat bejn il-kontroll kriptografiku u l-installazzjoni. Zoom, intant, wieġeb għar-rivelazzjonijiet ġodda ta’ Wardle. Il-kumpanija tgħid li qed taħdem fuq soluzzjoni.