Zoom solucionó un error que podría haber permitido el acceso sin restricciones a los sistemas macOS.
Según un boletín de seguridad del 13 de agosto(Se abre en una nueva ventana), las versiones de Zoom 5.7.3 a 5.11.5 contienen una vulnerabilidad de actualización automática que podría ser aprovechada por un usuario local con pocos privilegios para obtener acceso sin restricciones al sistema operativo de Apple. La debilidad, revelada por el especialista en seguridad de Mac Patrick Wardle en la DefCon de la semana pasada, fue parcheada en la versión 5.11.5 de Zoom, que ya está disponible.
El exploit apunta al instalador de Zoom, que requiere una contraseña de usuario cuando se agrega por primera vez, señala The Verge(Se abre en una nueva ventana). Wardle, sin embargo, descubrió que una función de actualización automática que se ejecuta continuamente en segundo plano podría engañarse para incrustar malware mediante el uso de la firma criptográfica de Zoom. Una vez dentro del sistema, un pirata informático puede modificar, eliminar o agregar archivos al dispositivo.
«Tenía curiosidad acerca de cómo exactamente estaban configurando esto», dijo Wardle. cableado(Se abre en una nueva ventana) antes de su charla de DefCon. «Y cuando eché un vistazo, a primera vista parecía que estaban haciendo las cosas de forma segura: tenían las ideas correctas. Pero cuando miré más de cerca, la calidad del código era más sospechosa y parecía que nadie lo estaba auditando». lo suficientemente profundo».
En Twitter, Wardle alabado(Se abre en una nueva ventana) Zoom por su «solución increíblemente rápida». Al evaluar el parche, Wardle dice que «el instalador de Zoom ahora invoca a lchown para actualizar los permisos para actualizar .pkg, evitando así la subversión maliciosa».
Recomendado por Nuestros Editores
Para instalar la actualización 5.11.5 en su Mac, inicie sesión en el cliente de escritorio Zoom, toque su foto de perfil y seleccione Buscar actualizaciones. Si hay una versión más nueva, Zoom la descargará e instalará.
En la otra gran conferencia de seguridad de la semana pasada, Black Hat, otro investigador de seguridad demostró cómo usó la tecnología de Zoom subyacente a otras aplicaciones para controlar completamente la computadora de un objetivo. También se han emitido parches para esa vulnerabilidad.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.