Ερευνητής ασφαλείας αποκαλύπτει ελαττώματα του Zoom

[Nagata]

Το να διαλέγεις την επιλογή αυτόματης ενημέρωσης του Zoom μπορεί να σε βοηθά ως χρήστη να διασφαλίζεσαι πως έχεις την πιο πρόσφατη, ασφαλέστερη έκδοση του λογισμικού, η οποία όμως παράλληλα μαθαίνουμε πως έχει πολλά προβλήματα απορρήτου και ασφάλειας.

Ένας ερευνητής σε θέματα που αφορούν προϊόντα της οικογενείας Mac, ανέφερε τρωτά σημεία που βρήκε στο πρόγραμμα  και επιτρέπουν σε εισβολείς να αποκτήσουν τον πλήρη έλεγχο. Σύμφωνα με το Wired, ο Patrick Wardle παρουσίασε δύο τρωτά σημεία κατά τη διάρκεια συνεδρίου. Βρήκε την πρώτη ευπάθεια στον έλεγχο υπογραφής της εφαρμογής, η οποία πιστοποιεί την ακεραιότητα της ενημέρωσης που εγκαθίσταται και την εξετάζει για να βεβαιωθεί ότι πρόκειται για μια νέα έκδοση του Zoom. 

Ο Wardle ανακάλυψε ότι οι εισβολείς μπορούσαν να παρακάμψουν τον έλεγχο υπογραφής ονομάζοντας το αρχείο κακόβουλου λογισμικού τους με συγκεκριμένο τρόπο και μόλις μπουν, θα μπορούσαν να αποκτήσουν πρόσβαση root και να ελέγξουν το Mac σας. Το TheVerge λέει ότι ο Wardle αποκάλυψε το σφάλμα στο Zoom τον Δεκέμβριο του 2021, αλλά η διόρθωση που κυκλοφόρησε περιείχε ένα άλλο σφάλμα. Ο Wardle φέρεται να διαπίστωσε ότι είναι δυνατό να εξαπατήσει ένα εργαλείο που διευκολύνει τη διανομή ενημερώσεων του Zoom για να αποδεχτεί μια παλαιότερη έκδοση του λογισμικού τηλεδιάσκεψης.

Το Zoom έχει ήδη διορθώσει και αυτό το ελάττωμα, αλλά ο Wardle βρήκε μια άλλη ευπάθεια, την οποία παρουσίασε επίσης στο ίδιο συνέδριο. Ανακάλυψε ότι υπάρχει ένα χρονικό σημείο μεταξύ της επαλήθευσης ενός πακέτου λογισμικού από τον αυτόματο πρόγραμμα εγκατάστασης και της πραγματικής διαδικασίας εγκατάστασης που επιτρέπει σε έναν εισβολέα να εισάγει κακόβουλο κώδικα στην ενημέρωση. Ένα πακέτο λήψης που προορίζεται για εγκατάσταση μπορεί προφανώς να διατηρήσει τα αρχικά του δικαιώματα ανάγνωσης-εγγραφής επιτρέποντας σε οποιονδήποτε χρήστη να το τροποποιήσει. Αυτό σημαίνει ότι ακόμη και χρήστες χωρίς πρόσβαση root θα μπορούσαν να αλλάξουν το περιεχόμενό του με κακόβουλο κώδικα και να αποκτήσουν τον έλεγχο του υπολογιστή-στόχου.

Η εταιρεία είπε στο The Verge ότι τώρα εργάζεται σε μια ενημέρωση κώδικα για τη νέα ευπάθεια που αποκάλυψε ο Wardle. Όπως σημειώνει το Wired, ωστόσο, οι εισβολείς πρέπει να έχουν πρόσβαση στη συσκευή ενός χρήστη για να μπορούν να εκμεταλλευτούν αυτά τα ελαττώματα.

back to the Article

[kurkosdr]

Αν το λειτουργικό δεν έχει καμία 10ρια background processes να τρώνε μπαταρία προσπαθώντας να είναι "helpful", δεν μπορούν εκεί στην Google, κάτι θα πάθουν. Και η λύση της Google για το πρόβλημα της διάρκειας ζωής μπαταρίας; Μια ακόμα υπηρεσία που θα σου υπενθυμίζει να το φορτίσεις κάθε μέρα, τι άλλο;

Μ' αρέσει που στα αποκαλυπτήρια του Android Wear (εποχές Android Lollipop τότε), κορόιδευαν την Microsoft για; Το γεγονός ότι προσπάθησε να στριμώξει τα Windows στα smartphone χωρίς να τα προσαρμόσει στην νοοτροπία των smartphone, και υποσχέθηκαν να μην κάνουν το ίδιο λάθος με το Android Wear (δηλαδή ότι δεν θα στριμώχναν ένα smartphone OS στα smartwatch), και τελικά έκαναν ακριβώς αυτό.

[baiosss]

Αν το λειτουργικό δεν έχει καμία 10ρια background processes να τρώνε μπαταρία προσπαθώντας να είναι "helpful", δεν μπορούν εκεί στην Google, κάτι θα πάθουν. Και η λύση της Google για το πρόβλημα της διάρκειας ζωής μπαταρίας; Μια ακόμα υπηρεσία που θα σου υπενθυμίζει να το φορτίσεις κάθε μέρα, τι άλλο;
Μ' αρέσει που στα αποκαλυπτήρια του Android Wear (εποχές Android Lollipop τότε), κορόιδευαν την Microsoft για; Το γεγονός ότι προσπάθησε να στριμώξει τα Windows στα smartphone χωρίς να τα προσαρμόσει στην νοοτροπία των smartphone, και υποσχέθηκαν να μην κάνουν το ίδιο λάθος με το Android Wear (δηλαδή ότι δεν θα στριμώχναν ένα smartphone OS στα smartwatch), και τελικά έκαναν ακριβώς αυτό.

Σίγουρα πάντως κάποιο λάθος έχεις κάνει κι εσύ με αυτό το post

Sent from my Pixel 6 using Tapatalk