La première vulnérabilité concerne le contrôle de signature de la plateforme de visioconférence. Cette vérification examine la stabilité de la mise à niveau à installer et examine s’il s’agit d’une toute nouvelle version de Zoom. Cela évite aux cybercriminels de manipuler la fonction de mise à niveau automatique pour installer des versions plus anciennes et plus sensibles de Zoom.
Le professionnel de la sécurité Mac Patrick Wardle a découvert que les cybercriminels peuvent contourner cette vérification de signature en renommant un fichier malveillant en décembre 2021. Cybercriminels qui parviennent à installer des logiciels malveillants sur l’ordinateur d’une victime peuvent obtenir un accès root et pirater un Mac.
La deuxième vulnérabilité découverte par Wardle implique un contournement des paramètres de sécurité qui fournissent la dernière version de l’application Zoom. Les cybercriminels peuvent mal informer un certain outil qui déclenche la diffusion de la mise à jour de Zoom pour fournir une ancienne version du logiciel de visioconférence.
Bug le plus récent
Le troisième et le plus récent bogue est un délai entre le vérification du plan d’application logicielle du programme d’installation automatique et du processus d’installation proprement dit. Ce hold-up peut être exploité par des cybercriminels pour injecter du code nuisible dans la mise à jour.
Un bundle téléchargé pour l’installation de la mise à jour peut conserver les approbations originales en lecture-écriture flexibles par les utilisateurs. Cela permet aux utilisateurs sans accès root d’échanger le contenu du plan avec du code destructeur et donc de prendre le contrôle du système informatique affecté.
Patchs proposés
Zoom a publié des spots pour les 2 premières vulnérabilités. On dit que la société a affaire à un spot pour la troisième vulnérabilité. Dans tous les cas, Zoom conseille constamment aux utilisateurs de configurer les variantes logicielles actuelles au fur et à mesure de leur lancement.
Toute l’actualité en temps réel, est sur L’Entrepreneur
