Një studiues sigurie ka zbuluar dy dobësi në mjetin e përditësimit të softuerit të thirrjeve video Zoom për macOS që lejoi aksesin në rrënjë. Pasi kompania rregulloi dobësitë, njeriu zbuloi një dobësi të re.
Studiuesi i sigurisë Patrick Wardle ndau gjetjet e tij në ngjarjen e hakerëve DefCon në Las Vegas. Atje, ai shpjegoi se si të anashkalohej kontrolli i nënshkrimit të mjetit të përditësimit automatik të Zoom për macOS. Në një cenueshmëri të parë, CVE-2022-28751, përdoruesve iu desh të ndryshonin vetëm emrin e skedarit në mënyrë që ai të përmbante të njëjtat vlera si certifikata që kërkonte mjeti i përditësimit. "Thjesht duhet t'i japësh softuerit një emër të caktuar dhe e ke kaluar kontrollin kriptografik në asnjë moment," i tha burri Wired.
Wardle kishte informuar Zoom për cenueshmërinë në fund të vitit 2021 dhe rregullimi që kompania kishte lëshuar më pas përmbante një cenueshmëri të re, sipas Wardle. Ai ishte në gjendje të merrte aplikacionin updater.app të Zoom për macOS që të pranonte një version më të vjetër të softuerit të thirrjeve video, kështu që filloi të shpërndante atë version në vend të versionit më të fundit. Palëve me qëllim të keq iu dha papritmas mundësia për të shfrytëzuar dobësitë në softuerin e vjetër Zoom nëpërmjet cenueshmërisë CVE2022-22781. E kuptova, sepse Zoom tani ka rregulluar dy dobësitë e mësipërme nëpërmjet një përditësimi.
Por Wardle gjeti gjithashtu një dobësi atje, CVE-2022-28756. Sipas burrit, aktualisht është e mundur të bëhen ndryshime në paketë pas verifikimit të një pakete softuerike nga instaluesi i Zoom. Paketa e softuerit ruan lejet e saj për lexim-shkrim në macOS dhe ende mund të modifikohet ndërmjet kontrollit kriptografik dhe instalimit. Ndërkohë, Zoom iu përgjigj zbulimeve të reja të Wardle. Kompania thotë se është duke punuar për një zgjidhje.