ரூட் அணுகலை அனுமதித்த மேகோஸிற்கான ஜூம் வீடியோ அழைப்பு மென்பொருள் புதுப்பிப்பு கருவியில் இரண்டு பாதிப்புகளை ஒரு பாதுகாப்பு ஆராய்ச்சியாளர் கண்டறிந்துள்ளார். நிறுவனம் பாதிப்புகளைக் கண்டறிந்த பிறகு, அந்த நபர் ஒரு புதிய பாதிப்பைக் கண்டுபிடித்தார்.
லாஸ் வேகாஸில் நடந்த DefCon ஹேக்கிங் நிகழ்வில் பாதுகாப்பு ஆய்வாளர் Patrick Wardle தனது கண்டுபிடிப்புகளைப் பகிர்ந்துள்ளார். அங்கு, MacOS க்கான ஜூமின் தானியங்கி புதுப்பிப்பு கருவியின் கையொப்ப சரிபார்ப்பை எவ்வாறு புறக்கணிப்பது என்பதை அவர் விளக்கினார். முதல் பாதிப்பில், CVE-2022-28751, பயனர்கள் ஒரு கோப்பின் கோப்பு பெயரை மட்டுமே மாற்ற வேண்டும், இதனால் புதுப்பிப்பு கருவி தேடும் சான்றிதழின் அதே மதிப்புகள் அதில் இருக்கும். "நீங்கள் மென்பொருளுக்கு ஒரு குறிப்பிட்ட பெயரைக் கொடுக்க வேண்டும், நீங்கள் எந்த நேரத்திலும் கிரிப்டோகிராஃபிக் கட்டுப்பாட்டைக் கடந்துவிட்டீர்கள்" என்று அந்த நபர் வயர்டிடம் கூறினார்.
வார்டில் 2021 ஆம் ஆண்டின் இறுதியில் ஜூமுக்கு பாதிப்பு குறித்து தெரிவித்திருந்தார், மேலும் நிறுவனம் வெளியிட்ட தீர்வில் ஒரு புதிய பாதிப்பு இருந்தது என்று வார்டில் கூறுகிறார். வீடியோ அழைப்பு மென்பொருளின் பழைய பதிப்பை ஏற்றுக்கொள்வதற்கு MacOS க்கான Zoom's updater.appஐ அவரால் பெற முடிந்தது, எனவே அது சமீபத்திய பதிப்பிற்குப் பதிலாக அந்தப் பதிப்பை விநியோகிக்கத் தொடங்கியது. பழைய ஜூம் மென்பொருளில் உள்ள பாதிப்புகளை CVE2022-22781 பாதிப்பு மூலம் பயன்படுத்திக் கொள்ள தீங்கிழைக்கும் தரப்பினருக்கு திடீரென வாய்ப்பு வழங்கப்பட்டது. கிடைத்தது, ஏனெனில் ஜூம் இப்போது மேலே உள்ள இரண்டு பாதிப்புகளை மேம்படுத்தல் மூலம் சரிசெய்துள்ளது.
ஆனால் வார்டில் ஒரு பாதிப்பைக் கண்டறிந்தார், CVE-2022-28756. மனிதனின் கூற்றுப்படி, ஜூம் நிறுவி மூலம் ஒரு மென்பொருள் தொகுப்பை சரிபார்த்த பிறகு தொகுப்பில் மாற்றங்களைச் செய்வது தற்போது சாத்தியமாகும். மென்பொருள் தொகுப்பு அதன் வாசிப்பு-எழுது அனுமதிகளை macOS இல் வைத்திருக்கிறது மற்றும் கிரிப்டோகிராஃபிக் சரிபார்ப்பு மற்றும் நிறுவலுக்கு இடையில் மாற்றியமைக்கப்படலாம். ஜூம், இதற்கிடையில், Wardle இன் புதிய வெளிப்பாடுகளுக்கு பதிலளித்தார். அதற்கான தீர்வைத் தேடி வருவதாக நிறுவனம் கூறுகிறது.