La vulnérabilité du zoom n’est pas fermée même après huit mois

La vulnérabilité du zoom n'est pas fermée même après huit mois

Les applications de vidéoconférence comme Zoom font partie intégrante de notre vie quotidienne au moins depuis le début de la pandémie de COVID-19. Stupide seulement s’ils ont une faille de sécurité qui n’a toujours pas été corrigée après huit mois. C’est exactement le cas avec Zoom. Huit mois après avoir signalé au fournisseur en décembre 2021, un chercheur a maintenant publié la vulnérabilité car elle n’a toujours pas été corrigée.

La vulnérabilité du zoom reste ouverte

Pour nous, Zoom est l’une des meilleures applications de visioconférence et il est difficile d’imaginer la vie quotidienne sans elle. Cependant, depuis décembre 2021 au moins, il y a eu une énorme faille de sécurité Zoom dans le programme.

Pour être plus précis, il existe même plusieurs failles de sécurité que le chercheur en sécurité Patrick Wardle a rendues publiques lors de la conférence Def Con hacker. Une vulnérabilité zero-day sur macOS n’a toujours pas été corrigée, a ajouté Wardle au rapport Le bord selon. Cependant, d’autres problèmes ont depuis été résolus.

Zoom répond : après tout, suite au signalement, Zoom a finalement mis à jour son application Mac hier. Vous devez absolument utiliser la nouvelle application avec la version 5.11.5 Téléchargercar – selon le fabricant – cette faille de sécurité est enfin comblée.

Updater avec trou de sécurité

La vulnérabilité affecte le programme d’installation du programme, qui nécessite des autorisations utilisateur spéciales pour installer ou supprimer Zoom. Lors de l’installation initiale, Zoom nécessite le mot de passe de l’utilisateur, mais celui-ci n’est plus demandé pour la fonction de mise à jour automatique, qui s’exécute constamment en arrière-plan. Et demande les droits de super utilisateur.

Bien que le programme de mise à jour vérifie si un fichier téléchargé est signé de manière cryptographique, cela peut facilement être trompé par un bug. Tout fichier portant la même signature que le certificat pourrait être utilisé pour tromper le programme.

Cela permet aux attaquants de contourner facilement la vérification et d’exécuter facilement des logiciels malveillants avec des droits d’administrateur. Cependant, cela n’est possible que si les attaquants ont déjà eu accès au système ailleurs. Mais ensuite, ils ont un accès gratuit au système affecté.

La vulnérabilité était ouverte depuis huit mois

Selon Wardle, il a signalé la vulnérabilité à Zoom Video Communications, Inc. en décembre 2021, qui a répondu rapidement. Cependant, le correctif a conduit à un autre bug avec lequel la faille de sécurité mentionnée a pu être poursuivie sans aucun problème.

« C’était un peu problématique pour moi car non seulement j’ai soumis les bugs à Zoom, mais j’ai également signalé les erreurs et expliqué comment corriger le code », Wardle a déclaré à The Verge.

Maintenant, après huit mois d’attente frustrants, il a décidé de rendre publique la vulnérabilité de Zoom. Et cette fois, le fournisseur a apparemment maîtrisé le problème.

Après avoir publié un autre correctif quelques semaines seulement avant Def Con, qui corrigeait le bug d’origine mais ne fermait toujours pas la vulnérabilité. Mais maintenant, Zoom semble avoir enfin maîtrisé la vulnérabilité de sécurité de l’application macOS. Ou peut être pas?