視頻會議軟件Zoom的自動更新選項可以幫助用戶確保擁有最新、最安全的版本。然而,一位蘋果電腦Mac安全研究人員今年的DefCon會議上稱在該工具中發現了漏洞,攻擊者可以利用這些漏洞在完全控制受害者的計算機。
據科技網站Wired報道,沃爾多(Patrick Wardle)提出兩個漏洞。第一個在Zoom程式的簽名驗證中,簽名驗證用以驗證所安裝的更新的完整性,並檢查和確保它是新版本的Zoom。換句話說,它負責阻止攻擊者欺騙自動更新安裝程式下載較舊且更易受攻擊的版本。
沃爾多發現攻擊者可以通過以某種方式命名惡意軟件來繞過簽名驗證,一旦進入,就可以獲得root訪問權限並控制受害者的Mac。科技網站The Verge報道稱,沃爾多早在2021年12月就向Zoom披露了該漏洞,之後Zoom推出的修復程式包含另一個漏洞,可能讓攻擊者有辦法規避Zoom設置的確保更新是最新版本的保護措施,誘騙Zoom更新分發的工具接受舊版的軟件。
Zoom已經修復該漏洞,但沃爾多發現了另一個漏洞,也在會議上提出。他發現在自動安裝程式對軟件包的驗證與實際安裝過程之間存在一個時間點,允許攻擊者將惡意代碼注入更新。用於安裝的下載包顯然可以保留其原始讀寫權限,允許任何用戶對其進行修改。這意味著即使沒有root訪問權限的用戶也可以將內容調換成惡意代碼並獲得對目標電腦的控制權。
Zoom稱正在針對沃爾多披露的新漏洞開發補丁。不過,攻擊者需要擁有對用戶設備的現有訪問權限才能利用這些漏洞,對大多數人來說沒有直接的危險,Zoom建議用戶「保持(程式)最新版本」。本報訊
