ආරක්ෂක පර්යේෂකයෙකු විසින් root ප්රවේශයට ඉඩ දුන් macOS සඳහා වන වීඩියෝ ඇමතුම් මෘදුකාංග යාවත්කාලීන මෙවලම Zoom හි දුර්වලතා දෙකක් සොයාගෙන ඇත. සමාගම දුර්වලතා හඳුනා ගැනීමෙන් පසුව, මිනිසා නව අවදානමක් සොයා ගත්තේය.
ආරක්ෂක පර්යේෂක පැට්රික් වෝඩ්ල් ලාස් වේගාස්හි DefCon අනවසරයෙන් ඇතුළුවීමේ ඉසව්වේදී ඔහුගේ සොයාගැනීම් බෙදාහදා ගත්තේය. එහිදී, ඔහු macOS සඳහා Zoom හි ස්වයංක්රීය යාවත්කාලීන මෙවලමෙහි අත්සන පරීක්ෂාව මඟ හරින ආකාරය පැහැදිලි කළේය. පළමු අවදානමකදී, CVE-2022-28751, පරිශීලකයින්ට ගොනුවේ ගොනු නාමය වෙනස් කිරීමට සිදු වූ අතර එමඟින් යාවත්කාලීන මෙවලම සොයන සහතිකයට සමාන අගයන් එහි අඩංගු වේ. "ඔබ මෘදුකාංගයට නිශ්චිත නමක් ලබා දිය යුතු අතර ඔබ කෙටි කාලයකින් ගුප්තකේතන පාලනය පසුකර ඇත," මිනිසා වයර්ඩ්ට පැවසීය.
Wardle විසින් 2021 අවසානයේ දී අවදානම පිළිබඳව Zoom වෙත දැනුම් දී ඇති අතර Wardle ට අනුව සමාගම විසින් නිකුත් කරන ලද නිවැරදි කිරීමේ නව අවදානමක් අඩංගු විය. වීඩියෝ ඇමතුම් මෘදුකාංගයේ පැරණි අනුවාදයක් පිළිගැනීමට macOS සඳහා Zoom's updater.app ලබා ගැනීමට ඔහුට හැකි විය, එබැවින් එය නවතම අනුවාදය වෙනුවට එම අනුවාදය බෙදා හැරීමට පටන් ගත්තේය. CVE2022-22781 අවදානම් හරහා පැරණි Zoom මෘදුකාංගයේ ඇති දුර්වලතා ගසාකෑමට අනිෂ්ට පාර්ශ්වයන්ට හදිසියේම අවස්ථාව ලබා දෙන ලදී. තේරුණා, මොකද සූම් දැන් යාවත්කාලීනයක් හරහා ඉහත දුර්වලතා දෙක නිවැරදි කර තිබෙනවා.
නමුත් Wardle එහි අවදානමක් ද සොයා ගත්තේය, CVE-2022-28756. මිනිසා පවසන පරිදි, Zoom ස්ථාපකය මඟින් මෘදුකාංග පැකේජයක් සත්යාපනය කිරීමෙන් පසුව පැකේජයේ වෙනස්කම් සිදු කළ හැකිය. මෘදුකාංග පැකේජය macOS හි එහි කියවීම්-ලිවීමේ අවසරයන් රඳවා තබා ගන්නා අතර ගුප්ත ලේඛන පරීක්ෂාව සහ ස්ථාපනය අතර තවමත් වෙනස් කළ හැක. මේ අතර Zoom, Wardle ගේ නව හෙළිදරව් කිරීම් වලට ප්රතිචාර දැක්වීය. සමාගම පවසන්නේ විසඳුමක් සඳහා කටයුතු කරමින් සිටින බවයි.