Zoom a corrigé une grave faille de sécurité qui aurait pu permettre à des pirates de prendre le contrôle d’un appareil macOS exécutant le logiciel de visioconférence.
Cette décision est intervenue après que le spécialiste de la sécurité Mac, Patrick Wardle, a démontré comment un acteur malveillant pouvait abuser de la façon dont macOS gère les correctifs logiciels pour déclencher une élévation des privilèges et essentiellement prendre le contrôle de l’appareil.
Au départ, il a déclaré que la vulnérabilité exploitait plusieurs failles et que la société avait corrigé la plupart d’entre elles. Il en restait un, cependant, et celui-ci a été corrigé à une date ultérieure pour enfin atténuer complètement le problème.
Tromper le programme de mise à jour
Le problème réside dans la façon dont macOS gère les mises à jour. Lorsqu’un utilisateur essaie pour la première fois d’installer une application ou un programme sur le point de terminaison, il doit s’exécuter avec des autorisations utilisateur spéciales, souvent accordées en soumettant un mot de passe. Après cela, les mises à jour automatiques s’exécutent indéfiniment, avec des privilèges de superutilisateur.
Dans le cas de Zoom, le programme de mise à jour vérifierait d’abord si l’entreprise a signé cryptographiquement le nouveau package, et si c’est le cas, procéderait à la mise à jour. Cependant, si le programme de mise à jour obtenait un fichier portant le même nom que le certificat de signature de Zoom, il l’exécuterait. En d’autres termes, un attaquant pourrait glisser n’importe quel logiciel malveillant via le programme de mise à jour, même si cela signifiait donner à un tiers un accès complet à l’appareil.
La faille a ensuite été identifiée comme CVE-2022-28756 et a été corrigée dans la version 5.11.5 de Zoom pour macOS, qui est maintenant disponible en téléchargement.
Même si au début, Wardle a décrit la faille comme relativement facile à corriger, il a même été surpris de la vitesse à laquelle Zoom a abordé le problème : « Mahalos à Zoom pour la solution (incroyablement) rapide ! » Wardle a tweeté par la suite. « En inversant le correctif, nous voyons que le programme d’installation de Zoom invoque maintenant lchown pour mettre à jour les autorisations de la mise à jour .pkg, empêchant ainsi la subversion malveillante. »
Via : The Verge (s’ouvre dans un nouvel onglet)