AppsNews Ερευνητής ασφαλείας αποκαλύπτει ελαττώματα του Zoom By i.tsompas 16 Αυγούστου, 2022497 views ShareTweet 2 Το να διαλέγεις την επιλογή αυτόματης ενημέρωσης του Zoom μπορεί να σε βοηθά ως χρήστη να διασφαλίζεσαι πως έχεις την πιο πρόσφατη, ασφαλέστερη έκδοση του λογισμικού, η οποία όμως παράλληλα μαθαίνουμε πως έχει πολλά προβλήματα απορρήτου και ασφάλειας. Ένας ερευνητής σε θέματα που αφορούν προϊόντα της οικογενείας Mac, ανέφερε τρωτά σημεία που βρήκε στο πρόγραμμα και επιτρέπουν σε εισβολείς να αποκτήσουν τον πλήρη έλεγχο. Σύμφωνα με το Wired, ο Patrick Wardle παρουσίασε δύο τρωτά σημεία κατά τη διάρκεια συνεδρίου. Βρήκε την πρώτη ευπάθεια στον έλεγχο υπογραφής της εφαρμογής, η οποία πιστοποιεί την ακεραιότητα της ενημέρωσης που εγκαθίσταται και την εξετάζει για να βεβαιωθεί ότι πρόκειται για μια νέα έκδοση του Zoom. Ο Wardle ανακάλυψε ότι οι εισβολείς μπορούσαν να παρακάμψουν τον έλεγχο υπογραφής ονομάζοντας το αρχείο κακόβουλου λογισμικού τους με συγκεκριμένο τρόπο και μόλις μπουν, θα μπορούσαν να αποκτήσουν πρόσβαση root και να ελέγξουν το Mac σας. Το TheVerge λέει ότι ο Wardle αποκάλυψε το σφάλμα στο Zoom τον Δεκέμβριο του 2021, αλλά η διόρθωση που κυκλοφόρησε περιείχε ένα άλλο σφάλμα. Ο Wardle φέρεται να διαπίστωσε ότι είναι δυνατό να εξαπατήσει ένα εργαλείο που διευκολύνει τη διανομή ενημερώσεων του Zoom για να αποδεχτεί μια παλαιότερη έκδοση του λογισμικού τηλεδιάσκεψης. Το Zoom έχει ήδη διορθώσει και αυτό το ελάττωμα, αλλά ο Wardle βρήκε μια άλλη ευπάθεια, την οποία παρουσίασε επίσης στο ίδιο συνέδριο. Ανακάλυψε ότι υπάρχει ένα χρονικό σημείο μεταξύ της επαλήθευσης ενός πακέτου λογισμικού από τον αυτόματο πρόγραμμα εγκατάστασης και της πραγματικής διαδικασίας εγκατάστασης που επιτρέπει σε έναν εισβολέα να εισάγει κακόβουλο κώδικα στην ενημέρωση. Ένα πακέτο λήψης που προορίζεται για εγκατάσταση μπορεί προφανώς να διατηρήσει τα αρχικά του δικαιώματα ανάγνωσης-εγγραφής επιτρέποντας σε οποιονδήποτε χρήστη να το τροποποιήσει. Αυτό σημαίνει ότι ακόμη και χρήστες χωρίς πρόσβαση root θα μπορούσαν να αλλάξουν το περιεχόμενό του με κακόβουλο κώδικα και να αποκτήσουν τον έλεγχο του υπολογιστή-στόχου. Η εταιρεία είπε στο The Verge ότι τώρα εργάζεται σε μια ενημέρωση κώδικα για τη νέα ευπάθεια που αποκάλυψε ο Wardle. Όπως σημειώνει το Wired, ωστόσο, οι εισβολείς πρέπει να έχουν πρόσβαση στη συσκευή ενός χρήστη για να μπορούν να εκμεταλλευτούν αυτά τα ελαττώματα. Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε Συνδεθείτε για να σχολιάσετε Καλώς ήλθατε {{inv_username}} comments Συνδεθείτε για να απαντήσετε Aπαντήστε {{inv_error}} New Comment Post Comment Logout Σύνδεση Email Κωδικός Σύνδεση Κλείσιμο
Apps Ανά πάσα στιγμή μπορείτε να αντιγράψετε δεδομένα από ένα τηλέφωνο Android σε ένα άλλο By i.tsompas6 ώρες ago0
News Δωρεάν αναβάθμιση ταχυτήτων ανόδου στα προγράμματα Vodafone Full Fiber 300 Mbps, 500 Mbps και 1 Gbps By Δημήτρης Θωμαδάκης1 ημέρα ago0
News Super Διαγωνισμός από το elektrostore24 στο Instagram – Απίστευτα δώρα αξίας άνω των 1.200 ευρώ! By Δημήτρης Θωμαδάκης1 ημέρα ago0