天下网吧 >> 网吧天地 >> 个人电脑 >> 网络应用 >> 正文

Zoom更新macOS应用程序以修补root访问漏洞

Zoom 为其 Mac 应用程序发布了一个补丁,修复了其自动更新功能中的一个漏洞,该漏洞可能会将macOS根权限授予攻击者。

Objective-See 的 Patrick Wardle 在周五的 Def Con 黑客会议上透露,详细介绍了Zoom 中未修补的漏洞。经过多次尝试,Zoom 在周六发布了另一个补丁,试图杀死该漏洞。

尽管遵循了负责任的披露协议,并在 2021 年 12 月通知了 Zoom,但 Wardle 发现修复 Zoom 可利用漏洞的尝试有些失败。

Wardle 在 Zoom 应用程序中发现了权限提升攻击,特别是利用 Zoom 本身的安装程序的攻击。在需要用户在第一次安装到 Mac 时输入密码后,自动更新程序继续以超级用户权限运行。

Zoom 的进一步更新将在检查它是否由 Zoom 签名后安装更新程序。然而,Wardle 发现更新程序可以处理与 Zoom 签名证书同名的任何文件,从而为攻击创造了机会。

令人沮丧的是,Wardle 在 12 月告诉 Zoom,但随后发现最初的修复包含另一个使漏洞可被利用的错误。Wardle 然后告诉 Zoom 第二个错误,然后等待。

在 Def Con 的几周前,Zoom 发布了一个补丁来修复最初的错误,但它也有一个可利用的元素,允许利用工作。

8 月 13 日,Zoom 为其 macOS 客户端发布了另一个补丁,再次针对相同的漏洞。安全公告页面将该问题描述为从 5.7.3 版开始影响适用于 macOS 的 Zoom 客户端,补丁本身将应用程序带到 5.11.5 版。

本文来源:天下网吧 作者:macOS天使

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行