Установщик macOS для Zoom может позволить хакерам захватить устройство

Команда Zoom исправила серьезную уязвимость в системе безопасности, которая могла позволить хакерам захватить устройство macOS, на котором работало программное обеспечение для видеоконференций.  
Установщик macOS для Zoom может позволить хакерам захватить устройство

Установщик macOS для Zoom может позволить хакерам захватить устройство. Фото: СС0

Этот шаг был предпринят после того, как специалист по безопасности Mac Патрик Уордл продемонстрировал, как злоумышленник может злоупотреблять тем, как macOS обрабатывает исправления программного обеспечения, чтобы вызвать эскалацию привилегий и, по сути, захватить устройство. 

Первоначально исследователь заявил, что уязвимость использует несколько недостатков, и что компания устранила большинство из них. Однако один остался, и он был исправлен позже.

Проблема заключается в том, как macOS обрабатывает обновления. Когда пользователь впервые пытается установить приложение или программу на конечной точке, ему необходимо запустить его со специальными разрешениями пользователя, часто предоставляемыми путем отправки пароля. Публикация  кaталога startpack.ru. После этого автообновления запускаются бесконечно, с привилегиями суперпользователя. 

В случае с Zoom средство обновления сначала проверяет, криптографически ли компания подписала новый пакет, и если да, то приступает к обновлению. Однако если средство обновления получит любой файл с тем же именем, что и сертификат подписи Zoom, оно запустит его. Другими словами, злоумышленник мог подсунуть любое вредоносное ПО через программу обновления, даже если это означало предоставление третьему лицу полного доступа к устройству.

Позже уязвимость была идентифицирована как CVE-2022-28756 и исправлена ​​в версии Zoom 5.11.5 для macOS, которая уже доступна для загрузки.

Несмотря на то, что сначала Уордл описал недостаток как относительно легко исправляемый, даже он был удивлен скоростью, с которой Zoom решил проблему.

Startpack подготовил список сервисов, которые помогут провести видеоконференцию. Помимо стандартной видеосвязи между двумя или несколькими абонентами, инструменты позволяют отправлять сообщения в режиме реального времени, обмениваться файлами, совместную работу с документами. Есть возможность быстро организовать текстовый чат. Продукты представлены в виде веб-сервисов, а также локальных приложений. Инструменты работают под разными операционными системами. Они могут быть установлены в облако или на локальный ПК или мобильный гаджет. 

Статьи по теме

Упомянутый сервис

Zoom Сервис для видео и веб-конференций, вебинаров и других онлайн-встреч.
Сервис для видео и веб-конференций, вебинаров и других онлайн-встреч.

Больше интересного

Актуальное

Разработчики WebMaster обновили алгоритм краулера
В Microsoft Teams появится автоматическая транскрипция записи собраний
Обновление GitHub поможет устранить скрытые ошибки безопасности в вашем коде
Ещё…