放大/ Zoom for Mac OS 中的一个严重漏洞允许未经授权的用户降级 Zoom 甚至获得 root 访问权限。它已被修复,用户应该立即更新。 (信用:盖蒂图片社)
如果您在 Mac 上使用 Zoom,则该手动更新了。视频会议软件的最新更新修复了一个自动更新漏洞,该漏洞可能允许恶意程序使用其提升的安装权限,授予升级的权限和系统控制权。
该漏洞最初是由非营利性 Mac OS 安全组织Objective-See 基金会的创始人Patrick Wardle 发现的。 Wardle上周在 Def Con 的一次演讲中详细介绍了 Zoom 的安装程序在安装或卸载时如何要求用户输入密码,但其默认启用的自动更新功能不需要密码。 Wardle 发现 Zoom 的更新程序由 root 用户拥有并以 root 用户身份运行。
这似乎是安全的,因为只有 Zoom 客户端可以连接到特权守护程序,并且只有 Zoom 签名的包才能被提取。问题是,通过简单地通过验证检查器它正在寻找的包的名称(“ Zoom Video ... Certification Authority Apple Root CA.pkg ”),可以绕过此检查。这意味着恶意行为者可能会迫使 Zoom 降级到一个漏洞百出、安全性较低的版本,甚至将一个完全不同的包传递给它,从而使他们能够获得对系统的 root 访问权限。