Un message d’intérêt public pour les propriétaires de Mac qui utilisent Zoom pour leurs réunions et leurs appels vidéo familiaux : mettez à jour votre logiciel immédiatement. La société a agi rapidement pour corriger une grave faille de sécurité qui pourrait permettre à un pirate de prendre le contrôle de macOS, en lui permettant de modifier, d’ajouter ou même de supprimer des fichiers à volonté.
L’exploit est bloqué dans la version 5.11.5 de l’application Zoom pour macOS, et les utilisateurs concernés doivent effectuer la mise à jour immédiatement. La vulnérabilité a obtenu un score CVSS de 8,8 sur le bulletin de sécurité de l’entreprise (s’ouvre dans un nouvel onglet)le dénotant de « haute » sévérité.
Cela marque un revirement rapide pour les développeurs de Zoom, car le bogue n’a été exposé que lors de la conférence de piratage DEF CON le vendredi 12 août. Le chercheur en sécurité qui a trouvé la faiblesse, Patrick Wardle, a certainement été impressionné, tweeter (s’ouvre dans un nouvel onglet): « Mahalos à @Zoom pour la solution (incroyablement) rapide ! »
Le bord (s’ouvre dans un nouvel onglet), qui a assisté à l’événement la semaine dernière, a plus de détails sur la vulnérabilité désormais corrigée, qui ciblait l’installateur de l’application Zoom. Wardle a constaté que si le programme d’installation exigeait qu’un propriétaire de Mac entre un mot de passe pour les installations, la fonction de mise à jour automatique s’exécutait en arrière-plan avec des privilèges de superutilisateur.
Le programme de mise à jour vérifierait que les mises à jour officiellement distribuées par les développeurs avaient été signées cryptographiquement. Mais Wardle a découvert que fournir au programme de mise à jour n’importe quel fichier avec les mêmes informations d’identification le tromperait, permettant aux types malveillants de remplacer les logiciels malveillants de leur choix pour s’exécuter sur un Mac avec Zoom ouvert.
Cette échappatoire est maintenant, heureusement, fermée. Wardle a suivi son tweet de félicitations en expliquant exactement comment Zoom avait fait le correctif (s’ouvre dans un nouvel onglet).
« En inversant le patch, nous voyons que le programme d’installation de Zoom invoque maintenant lchown pour mettre à jour les autorisations de la mise à jour .pkg, empêchant ainsi les subversions malveillantes », a-t-il expliqué – accompagné d’un cadenas et d’un emoji pouce levé, suggérant que cela obtient le sceau d’approbation de Wardle.
En inversant le patch, nous voyons que le programme d’installation de Zoom invoque maintenant lchown pour mettre à jour les autorisations de la mise à jour .pkg, empêchant ainsi les sous-versions malveillantes ??? pic.twitter.com/00xjqKQsXs14 août 2022
Pour mettre à jour Zoom sur votre Mac, chargez-le, puis cliquez sur zoom.us (ou quel que soit votre équivalent géographique) dans la barre de menus en haut de l’écran. Sélectionnez « Vérifier les mises à jour » et Zoom devrait ouvrir une fenêtre vous donnant les détails de ce qui est inclus. Cliquez sur « Mettre à jour » et votre téléchargement commencera.
Une fois que vous êtes tous mis à jour, n’oubliez pas de consulter nos guides sur les meilleurs arrière-plans Zoom gratuits, comment obtenir des filtres Snapchat sur Zoom et notre page générale sur l’utilisation de Zoom.