Истраживач безбедности открио је две рањивости у алату за ажурирање софтвера за видео позиве Зоом за мацОС који је дозвољавао роот приступ. Након што је компанија закрпила рањивости, човек је открио нову рањивост.
Истраживач безбедности Патрик Вордл поделио је своја открића на ДефЦон хакерском догађају у Лас Вегасу. Тамо је објаснио како заобићи проверу потписа Зоом-овог алата за аутоматско ажурирање за мацОС. У првој рањивости, ЦВЕ-2022-28751, корисници су морали само да промене име датотеке тако да садржи исте вредности као сертификат који је тражио алат за ажурирање. „Само морате да дате софтверу одређено име и за кратко време сте прошли криптографску контролу“, рекао је човек за Виред.
Вордл је обавестио Зоом о рањивости крајем 2021. године, а поправка коју је компанија тада објавила садржала је нову рањивост, наводи Вордл. Успео је да натера Зоомову апликацију упдатер.апп за мацОС да прихвати старију верзију софтвера за видео позиве, тако да је почео да дистрибуира ту верзију уместо најновије верзије. Злонамерне стране су изненада добиле прилику да искористе рањивости у старијем Зоом софтверу преко рањивости ЦВЕ2022-22781. Разумем, јер је Зоом сада исправио две горње рањивости путем ажурирања.
Али Вордл је ту такође пронашао рањивост, ЦВЕ-2022-28756. Према речима човека, тренутно је могуће извршити измене у пакету након верификације софтверског пакета од стране Зоом инсталатера. Софтверски пакет задржава своје дозволе за читање и писање у мацОС-у и још увек се може мењати између криптографске провере и инсталације. Зоом је, у међувремену, одговорио на Вардлова нова открића. Компанија каже да ради на решењу.