Skræmmende zoomfejl gør det muligt for en hacker at overtage din Mac fuldstændigt

Før du logger på Zoom for at starte dit næste videoopkald, bør du bruge et par minutter, før du tilmelder dig, for at opdatere din app. Zoom udgav for nylig en sikkerhedsrettelse til et stort hul, der kunne lade en hacker overtage hele din maskine.

Sårbarheden, opdaget af Patrick Wardle fra Mål-Se Fonden, involverer Zooms automatiske opdatering, der fungerer som root-bruger og ikke kræver en brugeradgangskode. Når opdateringsprogrammet kører, tjekker det, om softwareopdateringerne er signeret af Zoom, men Wardle opdagede, at det kun tjekkede, om filen har samme navn som signeringscertifikatet. En hacker kan derefter bruge en anden pakke med samme navn som certifikatet for at få adgang til Mac'en.

Wardle præsenterede sine resultater ved DefCon-arrangementet i sidste uge, og hans præsentationen kan ses online. Zoom svarede af frigiver 5.11.5 (9788) opdateringen, som retter fejlen, men det er faktisk det andet forsøg på at rette. I december fortalte Wardle Zoom om sårbarheden, og virksomheden udstedte en rettelse, men rettelsen havde en fejl, der tillod sårbarheden stadig at være effektiv.

Zoom har en ternet sikkerhedshistorik. Tidligere har den haft problemer med uautoriseret mikrofonadgang, mangel på kryptering og møder, der er blevet invaderet af uautoriserede brugere. Zoom har løst disse problemer med opdateringer.

Sådan opdaterer du Zoom

Zoom opdateres muligvis automatisk, når du starter appen, men den installerer muligvis ikke den nyeste version (dette skete for mig), som er 5.11.5 (9788). For at kontrollere versionen skal du starte Zoom og klikke på zoom.us > Om Zoom. Hvis du ikke har den nyeste version, skal du opdatere den manuelt. Sådan gør du.