Zoom的自动更新选项可以帮助用户确保他们拥有最新、最安全的视频会议软件版本,该软件多年来有多个隐私和安全问题。然而,一位Mac安全研究人员报告了他在该工具中发现的漏洞,攻击者可以利用这些漏洞在今年的DefCon上完全控制受害者的电脑。据《连线》报道,Patrick Wardle在会议期间提出了两个漏洞。他在应用程序的签名检查中发现了第一个漏洞,它证明了正在安装的更新的完整性,并检查它以确保它是Zoom的一个新版本。换句话说,它负责阻止攻击者欺骗自动更新安装程序,使其下载该应用程序的旧版和更脆弱的版本。
Wardle发现,攻击者可以通过以某种方式命名他们的恶意软件文件来绕过签名检查。一旦他们进入,他们就可以获得root权限并控制受害者的Mac。The Verge说,Wardle早在2021年12月就向Zoom披露了这个漏洞,但它推出的修复方案包含另一个漏洞。这第二个漏洞可能让攻击者有办法规避Zoom为确保更新提供最新版本的应用程序而设置的保障。据报道,Wardle发现,有可能欺骗一个促进Zoom更新发布的工具,使其接受旧版本的视频会议软件。
Zoom也已经修复了这个漏洞,但Wardle发现了另一个漏洞,他也在会议上做了介绍。他发现,在自动安装程序对软件包的验证和实际安装过程之间有一个时间点,允许攻击者在更新中注入恶意代码。一个用于安装的下载包显然可以保留其原始的读写权限,允许任何用户修改它。这意味着即使没有root权限的用户也可以用恶意代码交换其内容并获得对目标计算机的控制。
该公司告诉The Verge,它现在正在为Wardle披露的新漏洞开发一个补丁。不过,正如《连线》指出的那样,攻击者需要对用户的设备有现有的访问权,才能利用这些缺陷。即使对大多数人来说没有直接的危险,Zoom建议用户在应用程序出现时 "保持最新的版本"。