L’option de mise à jour automatique de Zoom peut aider les utilisateurs à s’assurer qu’ils disposent de la version la plus récente et la plus sûre du logiciel de visioconférence, qui a rencontré de nombreux problèmes de confidentialité et de sécurité au fil des ans. Un chercheur en sécurité Mac, cependant, a signalé des vulnérabilités qu’il a trouvées dans l’outil que les attaquants auraient pu exploiter pour prendre le contrôle total de l’ordinateur d’une victime lors de la DefCon de cette année. Selon Filaire, Patrick Wardle a présenté deux vulnérabilités lors de la conférence. Il a trouvé le premier dans la vérification de signature de l’application, qui certifie l’intégrité de la mise à jour en cours d’installation et l’examine pour s’assurer qu’il s’agit d’une nouvelle version de Zoom. En d’autres termes, il est chargé d’empêcher les attaquants d’inciter le programme d’installation de mise à jour automatique à télécharger une version plus ancienne et plus vulnérable de l’application.
Wardle a découvert que les attaquants pouvaient contourner la vérification de signature en nommant leur fichier malveillant d’une certaine manière. Et une fois à l’intérieur, ils pourraient obtenir un accès root et contrôler le Mac de la victime. Le bord dit Wardle a révélé le bogue à Zoom en décembre 2021, mais le correctif qu’il a déployé contenait une autre punaise. Cette deuxième vulnérabilité aurait pu donner aux attaquants un moyen de contourner la sauvegarde mise en place par Zoom pour s’assurer qu’une mise à jour fournit la dernière version de l’application. Wardle aurait découvert qu’il était possible de tromper un outil qui facilite la distribution des mises à jour de Zoom en acceptant une ancienne version du logiciel de visioconférence.
Zoom a également corrigé ce défaut, mais Wardle a trouvé une autre vulnérabilité, qu’il a également présentée lors de la conférence. Il a découvert qu’il y a un moment entre la vérification d’un package logiciel par l’installateur automatique et le processus d’installation réel qui permet à un attaquant d’injecter du code malveillant dans la mise à jour. Un package téléchargé destiné à l’installation peut apparemment conserver ses autorisations de lecture-écriture d’origine permettant à tout utilisateur de le modifier. Cela signifie que même les utilisateurs sans accès root pourraient échanger son contenu avec du code malveillant et prendre le contrôle de l’ordinateur cible.
La société a dit Le bord qu’il travaille maintenant sur un correctif pour la nouvelle vulnérabilité que Wardle a révélée. Comme Filaire note cependant que les attaquants doivent avoir un accès existant à l’appareil d’un utilisateur pour pouvoir exploiter ces failles. Même s’il n’y a pas de danger immédiat pour la plupart des gens, Zoom conseille aux utilisateurs de « se tenir au courant de la dernière version » de l’application chaque fois qu’elle sort.
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation.