एक सुरक्षा अनुसन्धानकर्ताले macOS को लागि भिडियो कलिङ सफ्टवेयर अपडेट उपकरण जुममा दुई कमजोरीहरू पत्ता लगाएका छन् जसले रूट पहुँचलाई अनुमति दिन्छ। कम्पनीले कमजोरीहरू प्याच गरेपछि, मानिसले नयाँ भेद्यता पत्ता लगाए।
सुरक्षा अनुसन्धानकर्ता प्याट्रिक वार्डलले लास भेगासमा DefCon ह्याकिङ कार्यक्रममा आफ्नो निष्कर्ष साझा गर्नुभयो। त्यहाँ, उनले macOS को लागी जुमको स्वचालित अपडेट उपकरणको हस्ताक्षर जाँचलाई कसरी बाइपास गर्ने भनेर वर्णन गरे। पहिलो कमजोरीमा, CVE-2022-28751, प्रयोगकर्ताहरूले फाइलको फाइल नाम मात्र परिवर्तन गर्नु पर्थ्यो ताकि यसले अद्यावधिक उपकरणले खोजिरहेको प्रमाणपत्रको रूपमा समान मानहरू समावेश गर्दछ। "तपाईले सफ्टवेयरलाई एउटा निश्चित नाम दिनु पर्छ र तपाइँ कुनै समयमै क्रिप्टोग्राफिक नियन्त्रण विगतमा हुनुहुन्छ," मानिसले वायर्डलाई भने।
वार्डलले २०२१ को अन्त्यमा जुमलाई जोखिमको बारेमा जानकारी गराएको थियो र कम्पनीले जारी गरेको फिक्समा नयाँ कमजोरी रहेको वार्डलका अनुसार। उनले भिडियो कलिङ सफ्टवेयरको पुरानो संस्करण स्वीकार गर्न macOS को लागि Zoom को updater.app प्राप्त गर्न सक्षम भए, त्यसैले यसले भर्खरको संस्करणको सट्टा त्यो संस्करण वितरण गर्न थाल्यो। मालिसियस पार्टीहरूलाई अचानक CVE2021-2022 मार्फत पुरानो Zoom सफ्टवेयरमा कमजोरीहरूको शोषण गर्ने अवसर दिइयो। मिल्यो, किनकि जुमले अब अपडेट मार्फत माथिका दुई कमजोरीहरू फिक्स गरेको छ।
तर वार्डलले त्यहाँ एउटा कमजोरी पनि फेला पार्यो, CVE-2022-28756। उक्त व्यक्तिका अनुसार अहिले जुम स्थापनाकर्ताले सफ्टवेयर प्याकेजको प्रमाणीकरण गरेपछि प्याकेजमा परिवर्तन गर्न सम्भव छ । सफ्टवेयर प्याकेजले macOS मा पढ्ने-लेखन अनुमतिहरू राख्छ र अझै पनि क्रिप्टोग्राफिक जाँच र स्थापना बीच परिमार्जन गर्न सकिन्छ। यस बीचमा, जूमले वार्डलको नयाँ खुलासाहरूमा प्रतिक्रिया दियो। समाधानका लागि काम गरिरहेको कम्पनीले जनाएको छ ।