Bir güvenlik araştırmacısı, macOS için görüntülü arama yazılımı güncelleme aracı Zoom‘da kök erişimine izin veren iki güvenlik açığı keşfetti. Şirket güvenlik açıklarını düzelttikten sonra, yeni bir güvenlik açığı keşfetti.
Güvenlik araştırmacısı Patrick Wardle, Las Vegas’taki DefCon hackleme etkinliğinde bulgularını paylaştı. Orada, Zoom’un macOS için otomatik güncelleme aracının imza kontrolünün nasıl atlanacağını açıkladı. İlk güvenlik açığında, kullanıcıların yalnızca bir dosyanın dosya adını, güncelleme aracının aradığı sertifika ile aynı değerleri içermesi için değiştirmesi gerekiyordu. Wired‘a “Yazılıma belirli bir isim vermeniz yeterli ve kriptografik kontrolün ötesindesiniz” dedi.
Ayrıca bkz: Hackerlar, 48,5 Milyon Şanghay Kullanıcılarının Çalınan Verilerini Satıyor!
Wardle, 2021’in sonundaki güvenlik açığı hakkında Zoom’u bilgilendirmişti ve Wardle’a göre şirketin yayınladığı düzeltme yeni bir güvenlik açığı içeriyordu. Zoom’un macOS için updater.app uygulamasının görüntülü arama yazılımının daha eski bir sürümünü kabul etmesini sağladı ve bu da yazılımın en yeni sürüm yerine bu sürümü dağıtmaya başlamasına neden oldu. Bu, kötü niyetli taraflara eski Zoom yazılımındaki güvenlik açıklarından yararlanma fırsatı verdi.
Ama Wardle bunda da bir güvenlik açığı buldu. Zoom yükleyicisi tarafından bir yazılım paketinin doğrulanmasından sonra pakette değişiklik yapmak şu anda mümkün. Yazılım paketi, macOS’te okuma-yazma izinlerini korur ve yine de şifreleme denetimi ile yükleme arasında değiştirilebilir. Bu arada Zoom, Wardle’ın yeni uyarılarına yanıt verdi ve şirket bir çözüm üzerinde çalıştığını söylüyor.