ผู้จัดพิมพ์ได้เผยแพร่แพตช์ที่มีข้อบกพร่องสองแพตช์ก่อนที่จะนำเสนอแพตช์ที่ใช้งานได้ในที่สุด... หนึ่งวันหลังจากการนำเสนอข้อบกพร่องที่เป็นปัญหาต่อสาธารณะ
ข้อดีอย่างหนึ่งของการประชุมด้านความปลอดภัยก็คือ พวกเขาจะผลักดันให้ผู้จำหน่ายขยับมากขึ้นอีกเล็กน้อย ในระหว่างการประชุมดีฟคอน 30ซึ่งจัดขึ้นที่ลาสเวกัสเมื่อสุดสัปดาห์ที่ผ่านมา นักวิจัยด้านความปลอดภัย Patrick Wardle ได้ให้รายละเอียดเกี่ยวกับข้อบกพร่องร้ายแรงในซอฟต์แวร์การประชุมผ่านวิดีโอยอดนิยมเวอร์ชัน macOS หนึ่งวันต่อมา Zoom ได้ประกาศอัปเดต 5.11.5 ซึ่งในที่สุดก็แก้ไขปัญหาได้และขอแนะนำอย่างยิ่งให้ติดตั้ง
ยังไม่เร็วเกินไป เพราะ Patrick Wardle ได้แจ้งเตือนผู้จัดพิมพ์เมื่อเดือนธันวาคมปีที่แล้ว ตั้งแต่นั้นมา ผู้จัดพิมพ์ได้เปิดตัวการแก้ไข 2 รายการ ซึ่งน่าเสียดายที่มีข้อผิดพลาดและไม่มีประสิทธิภาพ ซึ่งสร้างความรำคาญให้กับนักวิจัยด้านความปลอดภัยเป็นอย่างมาก“สำหรับฉัน มันเป็นปัญหาเล็กน้อย เพราะไม่เพียงแต่ฉันจะรายงานจุดบกพร่องไปยัง Zoom เท่านั้น แต่ยังรายงานข้อผิดพลาดและอธิบายวิธีแก้ไขโค้ดด้วย ดังนั้นมันจึงน่าหงุดหงิดจริงๆ ที่ต้องรอคอย หก เจ็ด แปดเดือน โดยรู้ว่า Zoom เวอร์ชัน Mac ทั้งหมดมีช่องโหว่"Wardle บอกกับ The Verge ทางโทรศัพท์ก่อนพูด
ข้อบกพร่องในการอัปเดตอัตโนมัติ
การนำเสนอแฮ็คนี้ในลาสเวกัสทำให้การทำงานภายในของ Zoom เห็นได้ชัดว่า นี่เป็นสิ่งที่ดี เนื่องจากข้อบกพร่องดังกล่าวทำให้สามารถเข้าถึงรูทบนคอมพิวเตอร์ทุกเครื่องที่ใช้ macOS ยังไง ? ต้องขอบคุณโมดูลอัปเดตแบบรวม แต่มีข้อบกพร่อง (“ตัวอัปเดตอัตโนมัติ”) จากการวิเคราะห์ Patrick Wardle พบว่าการตรวจสอบลายเซ็นของไฟล์อัพเดตไม่ได้ผล และดังนั้นจึงเป็นไปได้ที่จะติดตั้งอะไรก็ได้ และเนื่องจากโมดูลนี้ทำงานด้วยสิทธิ์ของผู้ดูแลระบบ ผู้โจมตีจึงสามารถเข้าถึงระบบทั้งหมดได้ในที่สุด
การเผยแพร่แพตช์นี้ทำให้นักวิจัยพอใจ และยังยกย่อง Zoom ในด้านความเร็วและการตอบสนองอีกด้วย เราควรจะเห็นการประชดเล็กน้อยในเรื่องนี้หรือไม่? ไม่ว่าการนำเสนอนี้จะเน้นย้ำจุดอ่อนของแพลตฟอร์ม Zoom ในปี 2020 ผู้จัดพิมพ์ได้รับการคัดแยกหลายครั้งความปลอดภัยในการให้บริการไม่ดี- ตั้งแต่นั้นมา บริษัทได้พยายามแก้ไขสถานการณ์ด้วยการเพิ่มฟีเจอร์ต่างๆ เช่น การเข้ารหัสจากต้นทางถึงปลายทาง หรือการปกปิดรหัสการประชุม เขายังมีความหรูหราของดำเนินการต่อ Keybase,โปรแกรมแก้ไขข้อความโต้ตอบแบบทันทีที่ปลอดภัยในเดือนพฤษภาคม 2020
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : หมิ่น
