XeaeX
New member
NSA için çalışan kıdemli bir güvenlik araştırmacısı olan Patrick Wardle, Zoom’un Mac uygulamasında güvenlik açığı buldu. Saldırganın root erişimi elde etmesine ve tüm işletim sistemini denetim etmesine müsaade veriyor.
Zoom, hareket tanıma özelliğini masaüstüne getirdi
3 ay evvel eklendi
Otomatik güncelleyicideki hatadan yararlanıyor
Saldırı, Zoom’u Mac bilgisayara yükleyebilmek yahut kaldırabilmek için özel kullanıcı müsaadeleri gerektiren Zoom macOS yükleyicisinden faydalanarak çalışıyor. Yükleyici, kullanıcı parolası girmeyi gerektiriyor fakat Wardle, daha sonrasında otomatik güncelleme fonksiyonunun superuser ayrıcalıklarıyla art planda daima olarak çalıştığını belirtiyor.
Yama tahlil olmadı
Zoom, bir güncelleme yayınladığında otomatik güncelleyicinin onayından geçiyor, daha sonra yükleme süreci başlatılıyor. Fakat doğrulama formülündeki bir kusur, saldırganın güncelleyiciyi dilediği biçimde ayarlamasını sağlıyor. Güncelleyici, yetkili kullanıcı ayrıcalıklarıyla çalıştığından Wardle, saldırganın güncelleme fonksiyonu aracılığıyla her türlü programı çalıştırabileceğine dikkat çekiyor. Enteresan olarak bu güvenlik açığı Zoom’a bildirilmesine ve tahlil yolu sunulmasına karşın, Zoom, yamayı yeni yayınlıyor lakin sorun hale devam ediyor.
Zoom’un en son güncellemesinde hala etkin olduğu belirtilen açık, saldırganın bir Mac bilgisayarda root yahut superuser ayrıcalığı kazanmasına müsaade veriyor. Bu, teoride, bilgisayardaki rastgele bir evrakın müsaadesiz olarak silinebileceği, değiştirilebileceği yahut yeni bir evrak eklenebileceği manasına geliyor.
Güncelleme yayınlanmadı
Zoom’un güvenlik ve saklılık PR başkanı, Zoom’un Mac sürümündeki otomatik güncelleyeciden kaynaklı güvenlik açığının farkında olduklarını ve bu açığı kapatmak için çalıştıklarını söylüyor.
Zoom, hareket tanıma özelliğini masaüstüne getirdi
3 ay evvel eklendi
Otomatik güncelleyicideki hatadan yararlanıyor
Saldırı, Zoom’u Mac bilgisayara yükleyebilmek yahut kaldırabilmek için özel kullanıcı müsaadeleri gerektiren Zoom macOS yükleyicisinden faydalanarak çalışıyor. Yükleyici, kullanıcı parolası girmeyi gerektiriyor fakat Wardle, daha sonrasında otomatik güncelleme fonksiyonunun superuser ayrıcalıklarıyla art planda daima olarak çalıştığını belirtiyor.
Yama tahlil olmadı
Zoom, bir güncelleme yayınladığında otomatik güncelleyicinin onayından geçiyor, daha sonra yükleme süreci başlatılıyor. Fakat doğrulama formülündeki bir kusur, saldırganın güncelleyiciyi dilediği biçimde ayarlamasını sağlıyor. Güncelleyici, yetkili kullanıcı ayrıcalıklarıyla çalıştığından Wardle, saldırganın güncelleme fonksiyonu aracılığıyla her türlü programı çalıştırabileceğine dikkat çekiyor. Enteresan olarak bu güvenlik açığı Zoom’a bildirilmesine ve tahlil yolu sunulmasına karşın, Zoom, yamayı yeni yayınlıyor lakin sorun hale devam ediyor.
Zoom’un en son güncellemesinde hala etkin olduğu belirtilen açık, saldırganın bir Mac bilgisayarda root yahut superuser ayrıcalığı kazanmasına müsaade veriyor. Bu, teoride, bilgisayardaki rastgele bir evrakın müsaadesiz olarak silinebileceği, değiştirilebileceği yahut yeni bir evrak eklenebileceği manasına geliyor.
Güncelleme yayınlanmadı
Zoom’un güvenlik ve saklılık PR başkanı, Zoom’un Mac sürümündeki otomatik güncelleyeciden kaynaklı güvenlik açığının farkında olduklarını ve bu açığı kapatmak için çalıştıklarını söylüyor.