ਇੱਕ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾ ਨੇ ਮੈਕੋਸ ਲਈ ਵੀਡੀਓ ਕਾਲਿੰਗ ਸੌਫਟਵੇਅਰ ਅਪਡੇਟ ਟੂਲ ਜ਼ੂਮ ਵਿੱਚ ਦੋ ਕਮਜ਼ੋਰੀਆਂ ਖੋਜੀਆਂ ਹਨ ਜੋ ਰੂਟ ਐਕਸੈਸ ਦੀ ਆਗਿਆ ਦਿੰਦੀਆਂ ਹਨ। ਕੰਪਨੀ ਦੁਆਰਾ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਪੈਚ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਆਦਮੀ ਨੇ ਇੱਕ ਨਵੀਂ ਕਮਜ਼ੋਰੀ ਦੀ ਖੋਜ ਕੀਤੀ।
ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾ ਪੈਟ੍ਰਿਕ ਵਾਰਡਲ ਨੇ ਲਾਸ ਵੇਗਾਸ ਵਿੱਚ DefCon ਹੈਕਿੰਗ ਇਵੈਂਟ ਵਿੱਚ ਆਪਣੀਆਂ ਖੋਜਾਂ ਸਾਂਝੀਆਂ ਕੀਤੀਆਂ। ਉੱਥੇ, ਉਸਨੇ ਦੱਸਿਆ ਕਿ ਮੈਕੋਸ ਲਈ ਜ਼ੂਮ ਦੇ ਆਟੋਮੈਟਿਕ ਅਪਡੇਟ ਟੂਲ ਦੇ ਦਸਤਖਤ ਚੈੱਕ ਨੂੰ ਕਿਵੇਂ ਬਾਈਪਾਸ ਕਰਨਾ ਹੈ। ਪਹਿਲੀ ਕਮਜ਼ੋਰੀ, CVE-2022-28751 ਵਿੱਚ, ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸਿਰਫ ਇੱਕ ਫਾਈਲ ਦਾ ਫਾਈਲ ਨਾਮ ਬਦਲਣਾ ਪੈਂਦਾ ਸੀ ਤਾਂ ਜੋ ਇਸ ਵਿੱਚ ਉਹੀ ਮੁੱਲ ਸ਼ਾਮਲ ਹੋਣ ਜੋ ਸਰਟੀਫਿਕੇਟ ਦੇ ਰੂਪ ਵਿੱਚ ਅਪਡੇਟ ਟੂਲ ਲੱਭ ਰਿਹਾ ਸੀ। "ਤੁਹਾਨੂੰ ਸਿਰਫ਼ ਸੌਫਟਵੇਅਰ ਨੂੰ ਇੱਕ ਖਾਸ ਨਾਮ ਦੇਣਾ ਹੋਵੇਗਾ ਅਤੇ ਤੁਸੀਂ ਬਿਨਾਂ ਕਿਸੇ ਸਮੇਂ ਵਿੱਚ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਨਿਯੰਤਰਣ ਤੋਂ ਪਹਿਲਾਂ ਹੋ ਗਏ ਹੋ," ਆਦਮੀ ਨੇ ਵਾਇਰਡ ਨੂੰ ਦੱਸਿਆ।
ਵਾਰਡਲ ਨੇ 2021 ਦੇ ਅੰਤ ਵਿੱਚ ਜ਼ੂਮ ਨੂੰ ਕਮਜ਼ੋਰੀ ਬਾਰੇ ਸੂਚਿਤ ਕੀਤਾ ਸੀ ਅਤੇ ਵਾਰਡਲ ਦੇ ਅਨੁਸਾਰ, ਕੰਪਨੀ ਦੁਆਰਾ ਜਾਰੀ ਕੀਤੇ ਗਏ ਫਿਕਸ ਵਿੱਚ ਇੱਕ ਨਵੀਂ ਕਮਜ਼ੋਰੀ ਸ਼ਾਮਲ ਸੀ। ਉਹ ਵੀਡੀਓ ਕਾਲਿੰਗ ਸੌਫਟਵੇਅਰ ਦੇ ਪੁਰਾਣੇ ਸੰਸਕਰਣ ਨੂੰ ਸਵੀਕਾਰ ਕਰਨ ਲਈ ਮੈਕੋਸ ਲਈ ਜ਼ੂਮ ਦੀ ਅਪਡੇਟਰ.ਐਪ ਪ੍ਰਾਪਤ ਕਰਨ ਦੇ ਯੋਗ ਸੀ, ਇਸਲਈ ਇਸ ਨੇ ਸਭ ਤੋਂ ਤਾਜ਼ਾ ਸੰਸਕਰਣ ਦੀ ਬਜਾਏ ਉਸ ਸੰਸਕਰਣ ਨੂੰ ਵੰਡਣਾ ਸ਼ੁਰੂ ਕਰ ਦਿੱਤਾ। ਖਤਰਨਾਕ ਪਾਰਟੀਆਂ ਨੂੰ ਅਚਾਨਕ CVE2022-22781 ਦੁਆਰਾ ਪੁਰਾਣੇ ਜ਼ੂਮ ਸੌਫਟਵੇਅਰ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦਾ ਮੌਕਾ ਦਿੱਤਾ ਗਿਆ ਸੀ। ਮਿਲੀ, ਕਿਉਂਕਿ ਜ਼ੂਮ ਨੇ ਹੁਣ ਅੱਪਡੇਟ ਰਾਹੀਂ ਉਪਰੋਕਤ ਦੋ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਠੀਕ ਕਰ ਦਿੱਤਾ ਹੈ।
ਪਰ ਵਾਰਡਲ ਨੂੰ ਉੱਥੇ ਇੱਕ ਕਮਜ਼ੋਰੀ ਵੀ ਮਿਲੀ, CVE-2022-28756। ਆਦਮੀ ਦੇ ਅਨੁਸਾਰ, ਜ਼ੂਮ ਇੰਸਟਾਲਰ ਦੁਆਰਾ ਇੱਕ ਸਾਫਟਵੇਅਰ ਪੈਕੇਜ ਦੀ ਤਸਦੀਕ ਕਰਨ ਤੋਂ ਬਾਅਦ ਪੈਕੇਜ ਵਿੱਚ ਬਦਲਾਅ ਕਰਨਾ ਫਿਲਹਾਲ ਸੰਭਵ ਹੈ। ਸੌਫਟਵੇਅਰ ਪੈਕੇਜ macOS ਵਿੱਚ ਪੜ੍ਹਨ-ਲਿਖਣ ਦੀਆਂ ਇਜਾਜ਼ਤਾਂ ਨੂੰ ਬਰਕਰਾਰ ਰੱਖਦਾ ਹੈ ਅਤੇ ਅਜੇ ਵੀ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਜਾਂਚ ਅਤੇ ਇੰਸਟਾਲੇਸ਼ਨ ਦੇ ਵਿਚਕਾਰ ਸੋਧਿਆ ਜਾ ਸਕਦਾ ਹੈ। ਜ਼ੂਮ, ਇਸ ਦੌਰਾਨ, ਵਾਰਡਲ ਦੇ ਨਵੇਂ ਖੁਲਾਸਿਆਂ ਦਾ ਜਵਾਬ ਦਿੱਤਾ. ਕੰਪਨੀ ਦਾ ਕਹਿਣਾ ਹੈ ਕਿ ਉਹ ਇਸ ਦੇ ਹੱਲ 'ਤੇ ਕੰਮ ਕਰ ਰਹੀ ਹੈ।