Xavfsizlik boʻyicha tadqiqotchi macOS uchun Zoom videoqoʻngʻiroqlar dasturini yangilash vositasida ildizga kirish imkonini beruvchi ikkita zaiflikni aniqladi. Kompaniya zaifliklarni tuzatgandan so'ng, odam yangi zaiflikni topdi.
Xavfsizlik bo'yicha tadqiqotchi Patrik Uordl Las-Vegasdagi DefCon xakerlik tadbirida o'z xulosalari bilan o'rtoqlashdi. U erda u MacOS uchun Zoom avtomatik yangilash vositasining imzo tekshiruvini qanday chetlab o'tishni tushuntirdi. Birinchi zaiflikda, CVE-2022-28751, foydalanuvchilar faqat fayl nomini yangilash vositasi izlayotgan sertifikat bilan bir xil qiymatlarga ega bo'lishi uchun o'zgartirishi kerak edi. "Siz dasturiy ta'minotga ma'lum bir nom berishingiz kerak va siz qisqa vaqt ichida kriptografik nazoratdan o'tasiz", dedi u Wiredga.
Wardle 2021-yil oxirida Zoom-ga zaiflik haqida ma'lum qilgan va kompaniya e'lon qilgan tuzatishda yangi zaiflik bor edi, deydi Wardle. U video qo‘ng‘iroqlar dasturining eski versiyasini qabul qilish uchun macOS uchun Zoom’ning updater.ilovasini olishga muvaffaq bo‘ldi, shuning uchun u eng so‘nggi versiya o‘rniga o‘sha versiyani tarqata boshladi. Zararli tomonlarga to'satdan CVE2022-22781 zaifligi orqali eski Zoom dasturiy ta'minotidagi zaifliklardan foydalanish imkoniyati berildi. Tushundim, chunki Zoom yangilanish orqali yuqoridagi ikkita zaiflikni tuzatdi.
Ammo Wardle u erda zaiflikni ham topdi, CVE-2022-28756. Erkakning so‘zlariga ko‘ra, hozirda dastur paketini Zoom o‘rnatuvchisi tomonidan tekshirilgandan so‘ng paketga o‘zgartirish kiritish mumkin. Dasturiy ta'minot to'plami macOS'da o'qish va yozish ruxsatlarini saqlab qoladi va kriptografik tekshiruv va o'rnatish o'rtasida o'zgartirilishi mumkin. Zoom esa Uordlning yangi vahiylariga javob berdi. Kompaniya yechim ustida ishlayotganini aytadi.