Zoom的自动更新选项可以帮助用户确保他们拥有最新和最安全的视频会议软件版本,这些年来该软件出现了多个隐私和安全问题。然而,一名Mac安全研究人员报告了他在该工具中发现的漏洞,攻击者可以在今年的DefCon上利用这些漏洞完全控制受害者的电脑。据《连线》报道,帕特里克·沃德尔在会议中提出了两个漏洞。他在应用程序的签名检查中发现了第一个漏洞,该漏洞证明了正在安装的更新的完整性,并对其进行了检查,以确保这是Zoom的新版本。换句话说,它负责防止攻击者诱骗自动更新安装程序下载该应用程序的旧版本和较弱版本。
沃德尔发现,攻击者可以通过以某种方式命名他们的恶意软件文件来绕过签名检查。一旦他们进入,就可以获得root权限,控制受害者的Mac。The Verge表示,沃德尔早在2021年12月就向Zoom披露了这一漏洞,但其推出的修复包含了另一个漏洞。第二个漏洞可能会给攻击者提供一种绕过Zoom设置的保护措施的方法,以确保更新提供应用程序的最新版本。据报道,沃德尔发现有可能欺骗一个促进发布缩放更新的工具,并使其接受旧版本的视频会议软件。
Zoom也已经修复了这个漏洞,但是Wardle发现了另一个漏洞,他也在会上介绍了这个漏洞。他发现自动安装程序对软件包的验证和实际安装过程之间存在一个时间点,这使得攻击者可以在更新中注入恶意代码。用于安装的下载包显然可以保留其原始的读写权限,允许任何用户修改它。这意味着,即使没有root权限的用户也可以与恶意代码交换其内容,并获得对目标计算机的控制。
该公司告诉The Verge,它现在正在为沃德尔披露的新漏洞开发补丁。然而,正如《连线》指出的那样,攻击者需要拥有对用户设备的现有访问权限,才能利用这些缺陷。即使对大多数人来说没有直接的危险,Zoom建议用户在应用程序出现时“保持最新版本”。
欢迎分享,转载请注明来源:聚客百科
微信扫一扫
支付宝扫一扫
评论列表(0条)