Mastelio keitimas: saugos tyrėjas nustato keletą automatinio atnaujinimo proceso trūkumų

Mastelio keitimas: saugos tyrėjas nustato keletą automatinio atnaujinimo proceso trūkumų

Nustatyta, kad „Zoom“ turi keletą saugumo trūkumų. Automatinio atnaujinimo metu įsilaužėliai gali atgauti aukos mašinos kontrolę.

„Zoom“ automatinio atnaujinimo parinktis padeda vartotojams visada turėti naujausią vaizdo konferencijų programinės įrangos versiją, kuri pastaraisiais metais patyrė daugybę privatumo ir saugumo problemų. „Mac“ saugos specialistas aptiko keletą automatinio atnaujinimo įrankio trūkumų , kurie leistų užpuolikams visiškai kontroliuoti savo aukos kompiuterį.

„Zoom“ aptikta daug saugumo trūkumų

Patrick Wardle pristatė savo išvadas šių metų DefCon. „Wired“ teigimu, du iš jų buvo atskleisti. Pirmasis buvo aptiktas tikrinant programos parašą, leidžiantį patikrinti įdiegto naujinimo vientisumą ir užtikrinti visišką jo teisėtumą. Tai neleidžia užpuolikui priversti montuotoją patikėti, kad gali įdiegti bet ką.

Per automatinio atnaujinimo procesą

Patrick Wardle atrado, kad įsilaužėliai gali apeiti parašo patikrinimą, tam tikru būdu pavadindami savo failus. Patekę į vidų, jie gali įgyti root prieigą ir valdyti savo aukos mašiną. „The Verge“ paaiškina, kad tyrėjas apie šį pažeidžiamumą „Zoom“ pranešė 2021 m. gruodžio mėn., tačiau pataisoje buvo dar vienas pažeidžiamumas. Antrasis pažeidžiamumas gali leisti įsilaužėliams apeiti „Zoom“ įdiegtas apsaugos priemones, kad įsitikintų, jog atnaujinimo procesas įdiegia naujausią programos versiją. Patrick Wardle atrado, kad buvo įmanoma apgauti Zoom naujinimų platinimo įrankį, kad jis priimtų senesnę programinės įrangos versiją.

įsilaužėliai gali atgauti aukos mašinos kontrolę

Zoom šį trūkumą jau ištaisė, tačiau ekspertas aptiko dar vieną pažeidžiamumą, taip pat pristatytą konferencijos metu. Tam tikru momentu tarp automatinio diegimo programos, tikrinančios paketą, ir paties diegimo proceso, į naujinimą gali būti įvestas kenkėjiškas kodas. Atsisiųstas paketas, kurį reikia įdiegti, gali išlaikyti originalius skaitymo / rašymo leidimus, todėl kiekvienas gali juos pakeisti. Tai reiškia, kad net vartotojai, neturintys root prieigos, gali bendrinti turinį su kenkėjišku kodu ir perimti tikslinės mašinos valdymą.

Bendrovė „The Verge“ pranešė, kad dirba prie šio naujo eksperto aptikto pažeidžiamumo pataisos. Kaip nurodo Wired, užpuolikai jau turi turėti prieigą prie vartotojo kompiuterio, kad galėtų pasinaudoti šiais trūkumais. Nors daugumai vartotojų tiesioginio pavojaus nėra, „Zoom“ rekomenduoja visada „susipažinti su naujausia programos versija“. Tai leidžia šifruoti nuo galo iki galo.

News
admin

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *

4 geriausi būdai suaktyvinti „Facebook“ pasimatymus | Perėjimas
6 geriausi būdai, kaip nemokamai blokuoti skelbimus „Android“: žingsnis po žingsnio
Mastelio keitimo skambučiai yra nepatikimi, o „ChromeOS“ dabar turi universalius mikrofono ir kameros perjungiklius

Mastelio keitimo skambučiai yra nepatikimi, o „ChromeOS“ dabar turi universalius mikrofono ir kameros perjungiklius

  • 25 Bal 2023
  • 37
Zoom.us prisijungimas: žingsniai norint prisijungti prie Zoom naudojant susitikimo ID

Zoom.us prisijungimas: žingsniai norint prisijungti prie Zoom naudojant susitikimo ID

  • 19 Bal 2023
  • 40
Zoom skelbia dirbtinio intelekto funkcijas, kurios taps jūsų asmeniniu asistentu

Zoom skelbia dirbtinio intelekto funkcijas, kurios taps jūsų asmeniniu asistentu

  • 01 Bal 2023
  • 45