变焦修复了一个允许无限制访问macOS系统的错误。
根据一份8月13日安全公告(在一个新窗口中打开), Zoom版本5.7.3至5.11.5包含一个自动更新漏洞,本地低权限用户可以利用该漏洞不受限制地访问苹果操作系统。Mac安全专家帕特里克·沃德尔(Patrick Wardle)在上周的DefCon大会上披露了这一漏洞,该漏洞在现已发布的Zoom 5.11.5版本中得到修补。
该漏洞针对Zoom安装程序,该安装程序在首次添加时需要用户密码The Verge笔记(在一个新窗口中打开).然而,沃德尔发现自动更新功能在后台连续运行可能被骗嵌入恶意软件用极速的密码签名黑客一旦进入系统,就可以修改、删除或向设备添加文件。
“我很好奇他们到底是怎么安排的,”沃德尔说告诉《连线》杂志(在一个新窗口中打开)在他的国防大会演讲之前“当我看的时候,乍一看,他们做的事情似乎很安全——他们有正确的想法。但当我仔细观察时,发现代码的质量更可疑,似乎没有人对其进行足够深入的审核。”
在Twitter上,Wardle说赞扬(在一个新窗口中打开)Zoom的“难以置信的快速修复”。在评估补丁时,Wardle说:“Zoom安装程序现在调用lchown来更新update .pkg的权限,从而防止恶意颠覆。”
要在Mac上安装5.11.5更新,请登录Zoom桌面客户端,轻按个人头像,选择“检查更新”。如果有更新的版本,Zoom将下载并安装它。
在上周的另一场大型安全会议上,黑帽另一位安全研究人员说。证明了他如何利用Zoom的技术作为其他应用的基础来完全控制目标的计算机。针对该漏洞也发布了补丁。