Zoom：安全研究人員發現自動更新過程中的多個弱點

Zoom 被發現存在多個安全漏洞。通過自動更新過程，黑客可以重新獲得對受害者機器的控制。

Zoom 的自動更新選項可幫助用戶始終擁有最新版本的視頻會議軟件，該軟件近年來遭受了許多隱私和安全問題。一位 Mac 安全專家在自動更新工具中發現了多個缺陷，這些缺陷使攻擊者能夠完全控制受害者的計算機。

Zoom 發現多個安全漏洞

帕特里克·沃德爾 (Patrick Wardle) 在今年的 DefCon 上展示了他的發現。據《連線》報導，其中兩個已被披露。第一個是在驗證應用程序簽名期間發現的，它允許您驗證已安裝更新的完整性，以確保其完全合法性。這可以防止攻擊者讓安裝程序相信他們可以安裝任何東西。

通過自動更新過程

Patrick Wardle 發現黑客可以通過以某種方式命名文件來繞過簽名驗證。一旦進入，他們就可以獲得 root 訪問權限並控制受害者的機器。The Verge 解釋稱，一名研究人員於 2021 年 12 月向 Zoom 報告了該漏洞的存在，但該補丁中還包含另一個漏洞。第二個漏洞可能允許黑客繞過 Zoom 實施的保護措施，以確保更新過程安裝該應用程序的最新版本。Patrick Wardle 發現可以欺騙 Zoom 的更新分發工具接受舊版本的軟件。

黑客可以重新控制受害者的機器

Zoom 已經修復了這個缺陷，但專家發現了另一個漏洞，也在會議期間提出。在自動安裝程序檢查軟件包和安裝過程本身之間的某個時刻，惡意代碼可能會被注入到更新中。下載的需要安裝的包顯然可以保留原來的讀/寫權限，允許任何人更改它們。這意味著即使沒有 root 訪問權限的用戶也可以通過惡意代碼共享內容並控制目標計算機。

該公司告訴 The Verge，它正在為專家發現的這個新漏洞開發補丁。正如《連線》指出的那樣，攻擊者必須已經能夠訪問用戶的計算機才能利用這些缺陷。雖然對大多數用戶來說並沒有直接的危險，但 Zoom 建議您始終“保持最新版本”的應用程序。這允許端到端加密。