Страшная уязвимость Zoom позволяет хакеру полностью завладеть вашим Mac

Прежде чем вы войдете в Zoom, чтобы начать следующий видеозвонок, вы должны потратить несколько минут, прежде чем присоединиться, чтобы обновить свое приложение. Zoom недавно выпустила исправление безопасности для серьезной дыры, которая могла позволить хакеру захватить всю вашу машину.

Уязвимость, обнаруженная Патриком Уордлом из Цель-см. фонд, включает в себя автоматическое средство обновления Zoom, которое работает как пользователь root и не требует пароля пользователя. Когда средство обновления запускается, оно проверяет, подписаны ли обновления программного обеспечения Zoom, но Уордл обнаружил, что оно проверяет только то, имеет ли файл то же имя, что и сертификат подписи. Затем хакер может использовать другой пакет с тем же именем, что и у сертификата, чтобы получить доступ к Mac.

Уордл представил свои выводы на мероприятии DefCon на прошлой неделе. презентация доступна для просмотра онлайн. Зум ответил: выпуск обновления 5.11.5 (9788), который исправляет недостаток, но на самом деле это вторая попытка исправления. В декабре Уордл сообщил Zoom об уязвимости, и компания выпустила исправление, но в исправлении была ошибка, из-за которой уязвимость все еще оставалась эффективной.

Zoom имеет пеструю историю безопасности. В прошлом у него были проблемы с несанкционированным доступом к микрофону, отсутствием шифрования и проникновением на собрания неавторизованных пользователей. Zoom исправил эти проблемы с помощью обновлений.

Как обновить Зум

Zoom может автоматически обновляться при запуске приложения, но может не установить последнюю версию (у меня так было), то есть 5.11.5 (9788). Чтобы проверить версию, запустите Zoom и нажмите на zoom.us > О Зуме. Если у вас нет последней версии, вам нужно будет обновить ее вручную. Вот как.