Firma Zoom wydała poprawkę na błąd w systemie macOS, który mógł umożliwić hakerowi przejęcie kontroli nad systemem operacyjnym użytkownika (Przez plotki o Macu). w Aktualizacja ich biuletynu bezpieczeństwaZoom potwierdza problem (CVE-2022-28756) i mówi, że poprawka jest zawarta w wersji 5.11.5 aplikacji na Maca, którą możesz (i powinieneś) pobrać już teraz.
Patrick Wardle, badacz bezpieczeństwa i założyciel Objective-See, organizacji non-profit, która tworzy narzędzia bezpieczeństwa typu open source dla macOS, po raz pierwszy ujawnił i zaprezentował tę lukę na zeszłotygodniowej konferencji hakerskiej Def Con. Mój kolega Corin Faife wziął udział w wydarzeniu i Zgłoszono wyniki Wardle.
Jak wyjaśnia Koren, exploit atakuje instalator Zoom, który do uruchomienia wymaga specjalnych uprawnień użytkownika. Korzystając z tego narzędzia, Wardle odkrył, że hakerzy mogą zasadniczo „oszukać” Zooma w celu zainstalowania złośliwego oprogramowania, umieszczając na pakiecie zaszyfrowany podpis Zooma. Z tego miejsca atakujący mogą uzyskać dodatkowy dostęp do systemu użytkownika, umożliwiając im modyfikowanie, usuwanie lub dodawanie plików na urządzeniu.
Podczas cofania poprawki widzimy, że instalator Zoom wywołuje teraz lchown, aby zaktualizować uprawnienia aktualizacji .pkg, zapobiegając w ten sposób złośliwemu sabotażowi. pic.twitter.com/00xjqKQsXs
– Patrick Wardle (@patrickwardle) 14 sierpnia 2022
„Mahalos powiększa się, aby uzyskać (niesamowicie) szybką naprawę!” Wardle powiedział w odpowiedzi Aby zaktualizować Zoom. „Kiedy cofamy poprawkę, widzimy, że instalator Zoom wywołuje teraz lchown, aby zaktualizować uprawnienia aktualizacji .pkg, zapobiegając w ten sposób złośliwemu sabotażowi”.
Możesz zainstalować aktualizację 5.11.5 na Zoom, otwierając najpierw aplikację na komputerze Mac i stukając Powiększ/Pomniejsz do nas (Może się to różnić w zależności od kraju, w którym się znajdujesz) z paska menu u góry ekranu. następnie wybierz Sprawdź aktualizacjeA jeśli taka jest dostępna, Zoom wyświetli okno z najnowszą wersją aplikacji, a także szczegółowe informacje o tym, co się zmieniło. Stąd wybierz Modernizacja aby rozpocząć pobieranie.
„Zła entuzjasta podróży. Irytująco skromny ćpun internetu. Nieprzepraszający alkoholiczek”.