AppsNews Ερευνητής ασφαλείας αποκαλύπτει ελαττώματα του Zoom By i.tsompas 16 Αυγούστου, 2022410 views ShareTweet 2 Το να διαλέγεις την επιλογή αυτόματης ενημέρωσης του Zoom μπορεί να σε βοηθά ως χρήστη να διασφαλίζεσαι πως έχεις την πιο πρόσφατη, ασφαλέστερη έκδοση του λογισμικού, η οποία όμως παράλληλα μαθαίνουμε πως έχει πολλά προβλήματα απορρήτου και ασφάλειας. Ένας ερευνητής σε θέματα που αφορούν προϊόντα της οικογενείας Mac, ανέφερε τρωτά σημεία που βρήκε στο πρόγραμμα και επιτρέπουν σε εισβολείς να αποκτήσουν τον πλήρη έλεγχο. Σύμφωνα με το Wired, ο Patrick Wardle παρουσίασε δύο τρωτά σημεία κατά τη διάρκεια συνεδρίου. Βρήκε την πρώτη ευπάθεια στον έλεγχο υπογραφής της εφαρμογής, η οποία πιστοποιεί την ακεραιότητα της ενημέρωσης που εγκαθίσταται και την εξετάζει για να βεβαιωθεί ότι πρόκειται για μια νέα έκδοση του Zoom. Ο Wardle ανακάλυψε ότι οι εισβολείς μπορούσαν να παρακάμψουν τον έλεγχο υπογραφής ονομάζοντας το αρχείο κακόβουλου λογισμικού τους με συγκεκριμένο τρόπο και μόλις μπουν, θα μπορούσαν να αποκτήσουν πρόσβαση root και να ελέγξουν το Mac σας. Το TheVerge λέει ότι ο Wardle αποκάλυψε το σφάλμα στο Zoom τον Δεκέμβριο του 2021, αλλά η διόρθωση που κυκλοφόρησε περιείχε ένα άλλο σφάλμα. Ο Wardle φέρεται να διαπίστωσε ότι είναι δυνατό να εξαπατήσει ένα εργαλείο που διευκολύνει τη διανομή ενημερώσεων του Zoom για να αποδεχτεί μια παλαιότερη έκδοση του λογισμικού τηλεδιάσκεψης. Το Zoom έχει ήδη διορθώσει και αυτό το ελάττωμα, αλλά ο Wardle βρήκε μια άλλη ευπάθεια, την οποία παρουσίασε επίσης στο ίδιο συνέδριο. Ανακάλυψε ότι υπάρχει ένα χρονικό σημείο μεταξύ της επαλήθευσης ενός πακέτου λογισμικού από τον αυτόματο πρόγραμμα εγκατάστασης και της πραγματικής διαδικασίας εγκατάστασης που επιτρέπει σε έναν εισβολέα να εισάγει κακόβουλο κώδικα στην ενημέρωση. Ένα πακέτο λήψης που προορίζεται για εγκατάσταση μπορεί προφανώς να διατηρήσει τα αρχικά του δικαιώματα ανάγνωσης-εγγραφής επιτρέποντας σε οποιονδήποτε χρήστη να το τροποποιήσει. Αυτό σημαίνει ότι ακόμη και χρήστες χωρίς πρόσβαση root θα μπορούσαν να αλλάξουν το περιεχόμενό του με κακόβουλο κώδικα και να αποκτήσουν τον έλεγχο του υπολογιστή-στόχου. Η εταιρεία είπε στο The Verge ότι τώρα εργάζεται σε μια ενημέρωση κώδικα για τη νέα ευπάθεια που αποκάλυψε ο Wardle. Όπως σημειώνει το Wired, ωστόσο, οι εισβολείς πρέπει να έχουν πρόσβαση στη συσκευή ενός χρήστη για να μπορούν να εκμεταλλευτούν αυτά τα ελαττώματα. Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε Συνδεθείτε για να σχολιάσετε Καλώς ήλθατε {{inv_username}} comments Συνδεθείτε για να απαντήσετε Aπαντήστε {{inv_error}} New Comment Post Comment Logout Σύνδεση Email Κωδικός Σύνδεση Κλείσιμο
Computers AMD: Επτεκείνει το δικό της line-up, φέρνοντας επεξεργαστές της σειράς Ryzen Pro 8000 με NPU! By i.tsompas5 ώρες ago0
Apps Καλή μας αρχή με το iOS 17.5 που επιτρέπει σε χρήστες της ΕΕ το sideloading! By i.tsompas1 ημέρα ago0
Gadgets “Πατάει” επί Ευρωπαικού εδάφους το προσιτό OnePlus Pad Go στις 23 Απριλίου By i.tsompas1 ημέρα ago0
Mobiles Γίνεται περισσότερο αυστηρή η Ιαπωνία με τις μονοπωλιακές πρακτικές της Apple! By i.tsompas2 ημέρες ago0
Apps Κατασκευαστής crypto wallet αναφέρει ψευδώς πως υπάρχει σφάλμα ασφαλείας στο iMessage By i.tsompas2 ημέρες ago0
