ZOOM曝出大BUG 可获得系统源访问权 官方紧急修复

ZOOM曝出大BUG 可获得系统源访问权 官方紧急修复
2022年08月16日 14:18 CNMO

  新酷产品第一时间免费试玩,还有众多优质达人分享独到生活经验,快来新浪众测,体验各领域最前沿、最有趣、最好玩的产品吧~!下载客户端还能获得专享福利哦!

  近日,疫情期间大火的视频会议软件ZOOM更新修复了一个BUG,该BUG可能会让恶意程序提升自身的安装能力,进而提高权限并控制系统。

  ZOOM

  这个BUG是由非营利Mac OS安全组织Objective-See基金会(Objective-See Foundation)的创始人Patrick Wardle首先发现的。Wardle在上周Def Con大会上介绍了ZOOM在安装或卸载时要求用户输入密码,而后在启用了默认的自动更新功能后,就不需要输入密码了。Wardle通过这一点发现ZOOM的更新程序会root机器。

  虽然这本身非常安全,因为只有通过官方签名的ZOOM客户端,可以提取root权限。可问题是,在自动安装程序对软件包的验证和实际安装过程之间有一个时间点,允许攻击者在更新中注入恶意代码。这意味着一些“有心人”在这期间可以用恶意代码获得对目标计算机的控制。

  Wardle在演讲前向ZOOM透露了他的发现,BUG在一定程度上得到了解决,但在Wardle周六演讲时,一些问题依旧没能得到解决。不过,ZOOM在当天晚些时候发布了安全公告,随后很快发布了ZOOM 5.11.5版本(9788)的补丁以解决BUG。

BUG
新浪科技公众号
新浪科技公众号

“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)

0条评论|0人参与网友评论
最热评论
--------

官方微博

新浪科技 新浪数码 新浪手机 科学探索 苹果汇 新浪众测

公众号

新浪科技

新浪科技为你带来最新鲜的科技资讯

苹果汇

苹果汇为你带来最新鲜的苹果产品新闻

新浪众测

新酷产品第一时间免费试玩

新浪探索

提供最新的科学家新闻,精彩的震撼图片