Badacz bezpieczeństwa odkrył dwie luki w narzędziu do aktualizacji oprogramowania do rozmów wideo Zoom for macOS, które umożliwiały dostęp do konta root. Po tym, jak firma załatała luki, mężczyzna odkrył nową lukę.
Badacz bezpieczeństwa Patrick Wardle podzielił się swoimi odkryciami podczas imprezy hakerskiej DefCon w Las Vegas. Tam wyjaśnił, jak ominąć sprawdzanie sygnatur narzędzia automatycznej aktualizacji Zoom dla systemu macOS. W pierwszej luce, CVE-2022-28751, użytkownicy musieli jedynie zmienić nazwę pliku, aby zawierał on te same wartości, co certyfikat, którego szukało narzędzie do aktualizacji. „Musisz tylko nadać oprogramowaniu określoną nazwę i w mgnieniu oka miniesz kontrolę kryptograficzną” – powiedział mężczyzna dla Wired.
Wardle poinformował Zoom o luce pod koniec 2021 roku, a poprawka, którą firma wydała, zawierała nową lukę, według Wardle. Udało mu się pobrać aktualizację.app Zoom dla systemu macOS, aby zaakceptować starszą wersję oprogramowania do rozmów wideo, więc zaczął rozpowszechniać tę wersję zamiast najnowszej wersji. Złośliwe strony nagle otrzymały możliwość wykorzystania luk w starszym oprogramowaniu Zoom za pośrednictwem luki CVE2022-22781. Jasne, ponieważ Zoom naprawił teraz dwie powyższe luki za pomocą aktualizacji.
Ale Wardle znalazł tam również lukę CVE-2022-28756. Według pana obecnie możliwe jest wprowadzanie zmian w pakiecie po weryfikacji pakietu oprogramowania przez instalator Zoom. Pakiet oprogramowania zachowuje swoje uprawnienia do odczytu i zapisu w systemie macOS i nadal można go modyfikować między kontrolą kryptograficzną a instalacją. Tymczasem Zoom zareagował na nowe rewelacje Wardle'a. Firma twierdzi, że pracuje nad rozwiązaniem.