安全會議的好處之一是它們可以推動供應商採取更多行動。會議期間防禦Con 30上週末在拉斯維加斯舉行的安全研究人員 Patrick Wardle 詳細介紹了流行視訊會議軟體 macOS 版本中的一個嚴重缺陷。一天后,Zoom 發布了 5.11.5 更新,最終解決了該問題,強烈建議安裝。
現在還不算太早,因為帕特里克·沃德爾(Patrick Wardle)去年 12 月就已經向出版商發出了警報。從那時起,發行商發布了兩個修復程序,不幸的是,這些修復程序有缺陷,因此無效。這確實讓安全研究人員很惱火。「對我來說,這有點問題,因為我不僅向 Zoom 報告了錯誤,而且還報告了錯誤並解釋瞭如何修復程式碼。因此,等待六、七、八個月真的很令人沮喪,因為我知道所有 Mac 版本的 Zoom 都容易受到攻擊。沃德爾在演講前透過電話告訴 The Verge。
自動更新的一個bug
這次在拉斯維加斯的黑客演示顯然為 Zoom 的內部運作注入了活力。這是一件好事,因為該缺陷允許在任何運行 macOS 的電腦上進行 root 存取。如何 ?得益於整合但有缺陷的更新模組(“自動更新器”)。透過分析,Patrick Wardle 意識到更新檔案的簽名驗證不起作用,因此可以讓它安裝任何東西。由於該模組以管理員權限運行,因此攻擊者最終可以獲得系統的所有存取權限。
該補丁的發布令研究人員感到滿意,他甚至稱讚 Zoom 的速度和響應能力。我們應該看到一點諷刺嗎?無論如何,這個演示凸顯了 Zoom 平台的弱點。 2020年,出版商多次被評選為其服務安全性較差。此後,它試圖糾正這種情況,增加了一系列功能,例如端對端加密或屏蔽會議 ID。他甚至有幸恢復金鑰庫,安全即時訊息編輯器,2020 年 5 月。
來源 : 邊緣
![Android Wear 漏洞:Google提供緊急解決方案 [更新]](https://webbedxp.com/statics/image/placeholder.png)
