\n<\/p>\n
La opci\u00f3n de actualizaci\u00f3n autom\u00e1tica de Zoom puede ayudar a los usuarios a asegurarse de tener la versi\u00f3n m\u00e1s reciente y segura del software de videoconferencia, que ha tenido m\u00faltiples problemas de privacidad y seguridad a lo largo de los a\u00f1os. Sin embargo, un investigador de seguridad de Mac inform\u00f3 sobre las vulnerabilidades que encontr\u00f3 en la herramienta que los atacantes podr\u00edan haber aprovechado para obtener el control total de la computadora de la v\u00edctima en la DefCon de este a\u00f1o. De acuerdo a cableado<\/em>, Patrick Wardle present\u00f3 dos vulnerabilidades durante la conferencia. Encontr\u00f3 el primero en la comprobaci\u00f3n de firmas de la aplicaci\u00f3n, que certifica la integridad de la actualizaci\u00f3n que se est\u00e1 instalando y la examina para asegurarse de que es una nueva versi\u00f3n de Zoom. En otras palabras, se encarga de impedir que los atacantes enga\u00f1en al instalador de actualizaciones autom\u00e1ticas para que descargue una versi\u00f3n m\u00e1s antigua y m\u00e1s vulnerable de la aplicaci\u00f3n. <\/p>\n Wardle descubri\u00f3 que los atacantes pod\u00edan eludir la verificaci\u00f3n de firmas al nombrar su archivo de malware de cierta manera. Y una vez dentro, podr\u00edan obtener acceso de root y controlar la Mac de la v\u00edctima. el borde<\/em> dice que Wardle revel\u00f3 el error a Zoom en diciembre de 2021, pero la soluci\u00f3n que implement\u00f3 conten\u00eda otro<\/em> insecto. Esta segunda vulnerabilidad podr\u00eda haber brindado a los atacantes una forma de eludir la protecci\u00f3n establecida por Zoom para asegurarse de que una actualizaci\u00f3n entregue la \u00faltima versi\u00f3n de la aplicaci\u00f3n. Seg\u00fan los informes, Wardle descubri\u00f3 que es posible enga\u00f1ar a una herramienta que facilita la distribuci\u00f3n de actualizaciones de Zoom para que acepte una versi\u00f3n anterior del software de videoconferencia. <\/p>\n <\/p>\n Zoom tambi\u00e9n solucion\u00f3 esa falla, pero Wardle encontr\u00f3 otra vulnerabilidad, que tambi\u00e9n present\u00f3 en la conferencia. Descubri\u00f3 que hay un punto en el tiempo entre la verificaci\u00f3n de un paquete de software por parte del instalador autom\u00e1tico y el proceso de instalaci\u00f3n real que permite a un atacante inyectar c\u00f3digo malicioso en la actualizaci\u00f3n. Aparentemente, un paquete descargado destinado a la instalaci\u00f3n puede conservar sus permisos originales de lectura y escritura, lo que permite que cualquier usuario lo modifique. Eso significa que incluso los usuarios sin acceso a la ra\u00edz podr\u00edan intercambiar su contenido con c\u00f3digo malicioso y obtener el control de la computadora de destino.<\/p>\n la empresa dijo el borde<\/em> que ahora est\u00e1 trabajando en un parche para la nueva vulnerabilidad que Wardle ha revelado. Como cableado<\/em> Sin embargo, se\u00f1ala que los atacantes deben tener acceso existente al dispositivo de un usuario para poder explotar estas fallas. Incluso si no existe un peligro inmediato para la mayor\u00eda de las personas, Zoom aconseja a los usuarios que \u00abse mantengan actualizados con la \u00faltima versi\u00f3n\u00bb de la aplicaci\u00f3n cada vez que salga una. <\/p>\n<\/div>\n Todos los productos recomendados por Engadget son seleccionados por nuestro equipo editorial, independiente de nuestra empresa matriz. Algunas de nuestras historias incluyen enlaces de afiliados. Si compra algo a trav\u00e9s de uno de estos enlaces, podemos ganar una comisi\u00f3n de afiliado.<\/em><\/p>\n