世界杯welcome手机下载【正式上线!】实际标示

Zoom修补了Mac版App可以让黑客获得Root权限的马脚

发布日期:2022-10-18 19:14    点击次数:195

Zoom修补了Mac版App可以让黑客获得Root权限的马脚

  DoNews 8月15日消息(刘文轩)Zoom释出更新版Mac版App,经管可以让黑客获得Mac电脑最高执行权限的2项马脚。

  这项马脚为安好专家Patrick Wardle在安好大会Def Con的演说树范名目。颠末The Verge报道后,Zoom求助释出最新Mac版Zoom 5.11.5版本。

  编号CVE-2022-28756的马脚为一外埠权限扩展马脚,出在以Zoom更新顺序时对套件验证无余。在初度按部就班时,Zoom 按部就班顺序(installer)会哀告用户输入密码, 假定自动更新Zoom App版本时,自动更新器(Auto Updater)只会搜查更新套件档是否吻合凭据,经由过程搜查后就会自动更新,这个Auto Updater具备super user权限,可以或许在背景执行。但Wardle缔造的马脚在于,只需袭击者编削新套件文件名便可以或许经由过程updater的验证,即就是假的更新套件,也能顺利按部就班到Mac电脑。

  Wardle在同一场大会中,活动动态还颁布另外一个马脚,编号CVE-2022-28751。这项马脚是将颠末Auto Updater按部就班验证的套件加以鼎新,像是注入代码。研究人员缔造一个编制,骗Zoom从头按部就班(已经鼎新过的)新套件,借此获得Zoom Auto Updater的super user权限。行使这两个马脚,袭击者即可获得最高权限,即Root执行权限,执行按部就班、厘革、搬移或删除Mac电脑上的任何档案。

  这两个马脚被列为CVSS 8.8,属严重危险,影响Zoom Client for Meetings for macOS 5.7.3到5.11.5之前版本,蕴含标准及IT Admin版。下载Zoom Mac版5.11.5版本可经管成就。