Si vous utilisez Zoom sur un Mac, il est temps de procéder à une mise à jour manuelle. La dernière mise à jour du logiciel de visioconférence corrige une vulnérabilité de mise à jour automatique qui aurait pu permettre à des programmes malveillants d’utiliser ses pouvoirs d’installation élevés, accordant des privilèges élevés et le contrôle du système.
La vulnérabilité était découvert pour la première fois par Patrick Wardle, fondateur de la fondation Objective-See, un groupe de sécurité Mac OS à but non lucratif. Wardle a détaillé dans une conférence à Def Con la semaine dernière comment le programme d’installation de Zoom demande un mot de passe utilisateur lors de l’installation ou de la désinstallation, mais sa fonction de mise à jour automatique, activée par défaut, n’en a pas besoin. Wardle a découvert que le programme de mise à jour de Zoom appartient à l’utilisateur root et s’exécute en tant qu’utilisateur root.
Cela semblait sécurisé, car seuls les clients Zoom pouvaient se connecter au démon privilégié, et seuls les packages signés par Zoom pouvaient être extraits. Le problème est qu’en passant simplement au vérificateur de vérification le nom du paquet qu’il recherchait (« Zoom Video ... Certification Authority Apple Root CA.pkg
« ), cette vérification pouvait être contournée. Cela signifiait que des acteurs malveillants pouvaient forcer Zoom à rétrograder vers une version plus boguée et moins sécurisée ou même lui transmettre un package entièrement différent qui pourrait leur donner un accès root au système.
Wardle a divulgué ses découvertes à Zoom avant son discours, et certains aspects de la vulnérabilité ont été abordés, mais l’accès root clé était toujours disponible lors de la conférence de Wardle samedi. Zoom a publié un bulletin de sécurité plus tard le même jour, et un correctif pour la version Zoom 5.11.5 (9788) a suivi peu de temps après. Vous pouvez télécharger la mise à jour directement à partir de Zoom ou cliquer sur les options de votre barre de menu pour « Vérifier les mises à jour ». Nous ne suggérons pas d’attendre une mise à jour automatique, pour plusieurs raisons. (Mise à jour: Clarification de la divulgation de Wardle et du calendrier de mise à jour).
Le dossier de sécurité logicielle de Zoom est inégal et parfois carrément effrayant. La société a conclu un accord avec la FTC en 2020 après avoir admis avoir menti pendant des années sur l’offre de cryptage de bout en bout. Wardle a précédemment révélé une vulnérabilité Zoom qui permettait aux attaquants de voler les informations d’identification Windows en envoyant une chaîne de texte. Avant cela, Zoom a été surpris en train d’exécuter un serveur Web entier sans papiers sur des Mac, obligeant Apple à publier sa propre mise à jour silencieuse pour tuer le serveur.
En mai dernier, une vulnérabilité Zoom qui permettait une exécution de code à distance sans clic utilisait un contournement de rétrogradation et de vérification de signature similaire. Dan Goodin d’Ars a noté que son client Zoom n’a pas été mis à jour lorsque le correctif de ce problème est arrivé, nécessitant d’abord un téléchargement manuel d’une version intermédiaire. Les pirates peuvent tirer rapidement parti des vulnérabilités exposées de Zoom, a noté Goodin, si les utilisateurs de Zoom ne sont pas mis à jour immédiatement. Moins l’accès root, bien sûr.