Если вы являетесь пользователем Zoom с Mac, сейчас выпускается критическое исправление безопасности, которое вы должны установить немедленно. Обновление Zoom для Mac устраняет серьезную уязвимость в системе безопасности, которая могла позволить любому получить root-доступ к вашему компьютеру.
Как сообщает ArsTechnica, уязвимость впервые обнаружил известный исследователь безопасности Патрик Уордл. Уордл подробно рассказал об уязвимости на конференции Def Con на прошлой неделе, объяснив, что функция автоматического обновления Zoom не запрашивает пароль пользователя и включена по умолчанию.
Это означает, что злоумышленники могут обойти средство проверки и либо перейти на старую, менее безопасную версию Zoom, либо передать программе обновления совершенно другой пакет. В отчете поясняется:
Это казалось безопасным, поскольку только клиенты Zoom могли подключаться к привилегированному демону, а извлекать можно было только пакеты, подписанные Zoom. Проблема в том, что, просто передав средству проверки имя искомого пакета («Zoom Video… Certification Authority Apple Root CA.pkg»), эту проверку можно было обойти. Это означало, что злоумышленники могли заставить Zoom перейти на менее безопасную версию с ошибками или даже передать ему совершенно другой пакет, который мог бы предоставить им root-доступ к системе.
Zoom выпустил бюллетень по безопасности после того, как Уордл подробно описал уязвимость. Компания заявила, что уязвимость в процессе автоматического обновления может позволить «локальному пользователю с низкими привилегиями» «повысить свои привилегии до root». Затронутые версии Zoom:
Клиент Zoom для совещаний для macOS (стандартная версия и для ИТ-администраторов), начиная с версии 5.7.3 и ниже версии 5.11.5.
Затем Zoom быстро выпустил обновление для своего приложения для Mac, чтобы исправить уязвимость. Вы можете обновить приложение Zoom на своем Mac до версии 5.11.5 (9788), чтобы защитить себя.
Это лишь последний пример часто неэффективных методов обеспечения безопасности Zoom. В 2019 году компания была вынуждена устранить серьезную уязвимость, которая позволяла веб-сайтам захватывать веб-камеры вашего Mac. Ранее в этом году было выпущено обновление, чтобы микрофон вашего Mac не оставался активным даже после того, как вы оставили вызов. И, конечно же, он годами лгал о предложении сквозного шифрования.
