రూట్ యాక్సెస్ని అనుమతించిన MacOS కోసం జూమ్ కోసం వీడియో కాలింగ్ సాఫ్ట్వేర్ అప్డేట్ టూల్లో భద్రతా పరిశోధకుడు రెండు దుర్బలత్వాలను కనుగొన్నారు. కంపెనీ దుర్బలత్వాలను గుర్తించిన తర్వాత, ఆ వ్యక్తి కొత్త దుర్బలత్వాన్ని కనుగొన్నాడు.
లాస్ వెగాస్లో జరిగిన DefCon హ్యాకింగ్ ఈవెంట్లో భద్రతా పరిశోధకుడు Patrick Wardle తన పరిశోధనలను పంచుకున్నారు. అక్కడ, MacOS కోసం జూమ్ యొక్క ఆటోమేటిక్ అప్డేట్ సాధనం యొక్క సంతకం తనిఖీని ఎలా దాటవేయాలో అతను వివరించాడు. మొదటి దుర్బలత్వంలో, CVE-2022-28751, వినియోగదారులు ఫైల్ యొక్క ఫైల్ పేరును మాత్రమే మార్చవలసి ఉంటుంది, తద్వారా నవీకరణ సాధనం వెతుకుతున్న ప్రమాణపత్రం వలె అదే విలువలను కలిగి ఉంటుంది. "మీరు సాఫ్ట్వేర్కు ఒక నిర్దిష్ట పేరు ఇవ్వాలి మరియు మీరు ఏ సమయంలోనైనా క్రిప్టోగ్రాఫిక్ నియంత్రణను దాటిపోయారు" అని వ్యక్తి వైర్డ్తో చెప్పాడు.
Wardle 2021 చివరిలో హాని గురించి జూమ్కు తెలియజేసింది మరియు వార్డిల్ ప్రకారం, కంపెనీ విడుదల చేసిన పరిష్కారం కొత్త దుర్బలత్వాన్ని కలిగి ఉంది. అతను వీడియో కాలింగ్ సాఫ్ట్వేర్ యొక్క పాత వెర్షన్ను ఆమోదించడానికి MacOS కోసం Zoom యొక్క updater.appని పొందగలిగాడు, కనుక ఇది ఇటీవలి వెర్షన్కు బదులుగా ఆ సంస్కరణను పంపిణీ చేయడం ప్రారంభించింది. హానికరమైన పార్టీలకు అకస్మాత్తుగా పాత జూమ్ సాఫ్ట్వేర్లోని దుర్బలత్వం CVE2022-22781 ద్వారా దుర్బలత్వాన్ని ఉపయోగించుకునే అవకాశం ఇవ్వబడింది. అర్థమైంది, ఎందుకంటే జూమ్ ఇప్పుడు ఎగువన ఉన్న రెండు దుర్బలత్వాలను అప్డేట్ ద్వారా పరిష్కరించింది.
కానీ Wardle అక్కడ కూడా ఒక దుర్బలత్వాన్ని కనుగొంది, CVE-2022-28756. మనిషి ప్రకారం, జూమ్ ఇన్స్టాలర్ ద్వారా సాఫ్ట్వేర్ ప్యాకేజీని ధృవీకరించిన తర్వాత ప్యాకేజీలో మార్పులు చేయడం ప్రస్తుతం సాధ్యమవుతుంది. సాఫ్ట్వేర్ ప్యాకేజీ దాని రీడ్-రైట్ అనుమతులను macOSలో కలిగి ఉంటుంది మరియు క్రిప్టోగ్రాఫిక్ చెక్ మరియు ఇన్స్టాలేషన్ మధ్య ఇప్పటికీ సవరించబడుతుంది. జూమ్, అదే సమయంలో, Wardle యొక్క కొత్త వెల్లడిపై స్పందించింది. పరిష్కారానికి కృషి చేస్తున్నట్లు కంపెనీ తెలిపింది.