Zoom 的自动更新选项可以帮助用户确保他们拥有最新、最安全的视频会议软件版本,该软件多年来一直存在多个隐私和安全问题。然而,一位 Mac 安全研究人员报告了他在该工具中发现的漏洞,攻击者可以利用这些漏洞在今年的 DefCon 上完全控制受害者的计算机。据Wired报道,Patrick Wardle 在会议期间提出了两个漏洞。他在应用程序的签名检查中找到了第一个,该签名验证了正在安装的更新的完整性,并对其进行检查以确保它是新版本的 Zoom。换句话说,它负责阻止攻击者欺骗自动更新安装程序下载较旧且更易受攻击的应用程序版本。
Wardle 发现攻击者可以通过以某种方式命名恶意软件文件来绕过签名检查。一旦他们进入,他们就可以获得 root 访问权限并控制受害者的 Mac。 The Verge称 Wardle 早在 2021 年 12 月就向 Zoom 披露了该漏洞,但它推出的修复程序包含另一个漏洞。第二个漏洞可能为攻击者提供了一种方法来绕过 Zoom 设置的保护措施,以确保更新提供最新版本的应用程序。据报道,Wardle 发现有可能诱骗促进 Zoom 更新分发的工具接受旧版本的视频会议软件。
Zoom 也已经修复了这个漏洞,但 Wardle 发现了另一个漏洞,他也在会议上提出了这个漏洞。他发现在自动安装程序验证软件包和实际安装过程之间存在一个时间点,允许攻击者将恶意代码注入更新。用于安装的下载包显然可以保留其原始的读写权限,允许任何用户对其进行修改。这意味着即使没有 root 访问权限的用户也可以将其内容与恶意代码交换并获得对目标计算机的控制权。
该公司告诉The Verge ,它现在正在为 Wardle 披露的新漏洞开发补丁。不过,正如Wired所指出的,攻击者需要拥有对用户设备的现有访问权限才能利用这些漏洞。即使对大多数人来说没有直接的危险,Zoom 还是建议用户在应用程序发布时“保持最新版本”。
原文: https://www.engadget.com/zooms-automatic-updates-flaws-153028919.html?src=rss