Как стать автором
Обновить

В Zoom исправили уязвимость, которая позволяла получать права суперпользователя на macOS

Время на прочтение1 мин
Количество просмотров903

СМИ сообщают, что в клиенте приложения Zoom для macOS исправили критическую уязвимость, которая позволяла хакерам получать доступ к данным компьютера и изменять их. Разработчики игнорировали ошибку более 8 месяцев.

Об уязвимости сообщил эксперт по информационной безопасности Патрик Уордл (Patrick Wardle). Он заметил, что установщик Zoom запускается на macOS с разрешением на изменение файлов в системе. В таком режиме установщик мог без особых проблем создавать новые файлы, изменять и удалять уже имеющиеся. При этом доступ был даже к системным файлам macOS. Утилита для автоматического обновления работает всегда в фоновом режиме, что потенциально позволяет хакерам в любое время получить доступ к содержимому компьютера жертвы.

Также эксперт заметил, что разработчики Zoom постарались избежать случаев неправомерного доступа, и каждое обновление клиента поставлялось вместе с криптографическим сертификатом, который позволял вносить изменения в систему. Но система принимала в качестве сертификата любой файл, который имел идентичное с ним название. Поэтому для доступа к файловой системе достаточно было передать утилите автоматического обновления любой файл.

Патрик Уордл обнаружил уязвимость в декабре 2021 года. Он сразу сообщил об этом разработчикам Zoom, но они не спешили исправлять ошибку. На протяжении восьми месяцев уязвимость оставалась открытой. После этого специалист публично рассказал об ошибке на конференции Def Con, а 13 августа 2022 года компания выпустила минорное обновление системы безопасности с патчем для macOS.

Теги:
Хабы:
Если эта публикация вас вдохновила и вы хотите поддержать автора — не стесняйтесь нажать на кнопку
Всего голосов 3: ↑3 и ↓0+3
Комментарии0

Другие новости

Истории

Работа

Ближайшие события

7 – 8 ноября
Конференция byteoilgas_conf 2024
МоскваОнлайн
7 – 8 ноября
Конференция «Матемаркетинг»
МоскваОнлайн
15 – 16 ноября
IT-конференция Merge Skolkovo
Москва
22 – 24 ноября
Хакатон «AgroCode Hack Genetics'24»
Онлайн
28 ноября
Конференция «TechRec: ITHR CAMPUS»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань