Aggiorna subito Zoom per Mac per evitare la vulnerabilità di accesso root
La funzionalità che normalmente vorresti per un software sicuro ha aperto un enorme buco.
Se stai utilizzando Zoom su un Mac, è il momento di eseguire un aggiornamento manuale. L’ultimo aggiornamento del software di videoconferenza risolve una vulnerabilità di aggiornamento automatico che avrebbe potuto consentire a programmi dannosi di utilizzare i suoi elevati poteri di installazione, garantendo privilegi e controllo del sistema aumentati.
La vulnerabilità è stata scoperta per la prima volta da Patrick Wardle , fondatore della Objective-See Foundation , un gruppo di sicurezza per Mac OS senza scopo di lucro. Wardle ha spiegato in un discorso al Def Con la scorsa settimana come il programma di installazione di Zoom richiede una password utente durante l’installazione o la disinstallazione, ma la sua funzione di aggiornamento automatico, abilitata per impostazione predefinita, non ne ha bisogno. Wardle ha scoperto che il programma di aggiornamento di Zoom è di proprietà e viene eseguito come utente root.
Il succo di come l’utilità di aggiornamento automatico di Zoom consente exploit di escalation dei privilegi, dal discorso Def Con di Patrick Wardle.
Ingrandisci / Il succo di come l’utilità di aggiornamento automatico di Zoom consente exploit di escalation dei privilegi, dal discorso Def Con di Patrick Wardle.
Sembrava sicuro, poiché solo i client Zoom potevano connettersi al demone privilegiato e potevano essere estratti solo i pacchetti firmati da Zoom. Il problema è che semplicemente passando al controllo di verifica il nome del pacchetto che stava cercando (” Zoom Video … Certification Authority Apple Root CA.pkg”), questo controllo potrebbe essere aggirato. Ciò significava che gli attori malintenzionati potevano costringere Zoom a eseguire il downgrade a una versione con problemi di bug e meno sicura o persino passargli un pacchetto completamente diverso che potesse fornire loro l’accesso come root al sistema.
Wardle ha rivelato le sue scoperte a Zoom prima del suo discorso e alcuni aspetti della vulnerabilità sono stati affrontati, ma l’accesso alla radice della chiave era ancora disponibile al momento del discorso di Wardle di sabato. Zoom ha emesso un bollettino sulla sicurezza più tardi lo stesso giorno e subito dopo è seguita una patch per la versione Zoom 5.11.5 (9788). Puoi scaricare l’aggiornamento direttamente da Zoom o fare clic sulle opzioni della barra dei menu per “Verifica aggiornamenti”. Non suggeriamo di attendere un aggiornamento automatico, per molteplici ragioni. ( Aggiornamento: chiariti i tempi di divulgazione e aggiornamento di Wardle).
Il record di sicurezza del software di Zoom è imprevedibile e, a volte, addirittura spaventoso. La società si è accordata con la FTC nel 2020 dopo aver ammesso di aver mentito per anni sull’offerta di crittografia end-to-end . Wardle aveva precedentemente rivelato una vulnerabilità di Zoom che permetteva agli aggressori di rubare le credenziali di Windows inviando una stringa di testo . In precedenza, Zoom è stato sorpreso a eseguire un intero server Web non documentato su Mac , facendo sì che Apple emettesse il proprio aggiornamento silenzioso per uccidere il server.
Lo scorso maggio, una vulnerabilità di Zoom che ha consentito l’esecuzione di codice remoto senza clic ha utilizzato un downgrade simile e un bypass del controllo della firma. Dan Goodin di Ars ha notato che il suo client Zoom non si è effettivamente aggiornato quando è arrivata la soluzione per quel problema, richiedendo prima il download manuale di una versione intermedia. Gli hacker possono sfruttare rapidamente le vulnerabilità di Zoom esposte, ha osservato Goodin, se gli utenti di Zoom non vengono aggiornati immediatamente. Meno l’accesso alla radice, ovviamente.