{"id":98161,"date":"2022-08-16T06:03:24","date_gmt":"2022-08-16T06:03:24","guid":{"rendered":"https:\/\/magazineoffice.com\/actualice-zoom-para-mac-ahora-para-evitar-la-vulnerabilidad-de-acceso-a-la-raiz\/"},"modified":"2022-08-16T06:03:25","modified_gmt":"2022-08-16T06:03:25","slug":"actualice-zoom-para-mac-ahora-para-evitar-la-vulnerabilidad-de-acceso-a-la-raiz","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/actualice-zoom-para-mac-ahora-para-evitar-la-vulnerabilidad-de-acceso-a-la-raiz\/","title":{"rendered":"Actualice Zoom para Mac ahora para evitar la vulnerabilidad de acceso a la ra\u00edz"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div itemprop=\"articleBody\">\n<figure class=\"intro-image intro-left\"><figcaption class=\"caption\">\n<div class=\"caption-text\">Agrandar <span class=\"sep\">\/<\/span> Una vulnerabilidad cr\u00edtica en Zoom para Mac OS permiti\u00f3 a los usuarios no autorizados degradar Zoom o incluso obtener acceso de root.  Se ha solucionado y los usuarios deben actualizar ahora.<\/div>\n<p>im\u00e1genes falsas<\/p>\n<\/figcaption><\/figure>\n<aside id=\"social-left\" class=\"social-left\" aria-label=\"Read the comments or share this article\">\n<\/aside>\n<p><!-- cache hit 580:single\/related:b0268b596df8695d075383be3b762734 --><!-- empty --><\/p>\n<p>Si est\u00e1 utilizando Zoom en una Mac, es hora de una actualizaci\u00f3n manual.  La \u00faltima actualizaci\u00f3n del software de videoconferencia corrige una vulnerabilidad de actualizaci\u00f3n autom\u00e1tica que podr\u00eda haber permitido que los programas maliciosos usaran sus elevados poderes de instalaci\u00f3n, otorgando privilegios escalados y control del sistema.<\/p>\n<p>La vulnerabilidad era <a href=\"https:\/\/twitter.com\/patrickwardle\/status\/1558220950558035968?s=21&amp;t=82dTcApJ0PB_uUwX26H8IQ\" target=\"_blank\" rel=\"noopener\">descubierto por primera vez por Patrick Wardle<\/a>, fundador de Objective-See Foundation, un grupo de seguridad de Mac OS sin fines de lucro.  Wardle detall\u00f3 en una charla en Def Con la semana pasada c\u00f3mo el instalador de Zoom solicita una contrase\u00f1a de usuario al instalar o desinstalar, pero su funci\u00f3n de actualizaci\u00f3n autom\u00e1tica, habilitada de manera predeterminada, no necesita una.  Wardle descubri\u00f3 que el actualizador de Zoom es propiedad y se ejecuta como usuario ra\u00edz.<\/p>\n<figure class=\"image shortcode-img right medium\" style=\"width:300px\"><img loading=\"lazy\" decoding=\"async\" alt=\"La esencia de c\u00f3mo la utilidad de actualizaci\u00f3n autom\u00e1tica de Zoom permite exploits de escalada de privilegios, de la charla Def Con de Patrick Wardle.\" src=\"https:\/\/cdn.arstechnica.net\/wp-content\/uploads\/2022\/08\/Screen-Shot-2022-08-15-at-11.02.05-AM-300x167.png\" width=\"300\" height=\"167\" srcset=\"https:\/\/cdn.arstechnica.net\/wp-content\/uploads\/2022\/08\/Screen-Shot-2022-08-15-at-11.02.05-AM-640x356.png 2x\"\/><figcaption class=\"caption\">\n<div class=\"caption-text\">Agrandar <span class=\"sep\">\/<\/span> La esencia de c\u00f3mo la utilidad de actualizaci\u00f3n autom\u00e1tica de Zoom permite exploits de escalada de privilegios, de la charla Def Con de Patrick Wardle.<\/div>\n<\/figcaption><\/figure>\n<p>Parec\u00eda seguro, ya que solo los clientes de Zoom pod\u00edan conectarse al demonio privilegiado y solo se pod\u00edan extraer los paquetes firmados por Zoom.  El problema es que con solo pasarle al checker de verificaci\u00f3n el nombre del paquete que estaba buscando (\u00ab<code>Zoom Video ... Certification Authority Apple Root CA.pkg<\/code>\u00ab), esta verificaci\u00f3n podr\u00eda pasarse por alto. Eso significaba que los actores malintencionados podr\u00edan obligar a Zoom a cambiar a una versi\u00f3n con errores y menos segura o incluso pasarle un paquete completamente diferente que podr\u00eda darles acceso de root al sistema.<\/p>\n<aside class=\"ad_wrapper\" aria-label=\"In Content advertisement\">\n    <span class=\"ad_notice\">Anuncio publicitario <\/span>    <\/p>\n<\/aside>\n<p>Wardle revel\u00f3 sus hallazgos a Zoom antes de su charla, y se abordaron algunos aspectos de la vulnerabilidad, pero el acceso ra\u00edz clave a\u00fan estaba disponible a partir de la charla de Wardle el s\u00e1bado.  Zoom emiti\u00f3 un bolet\u00edn de seguridad m\u00e1s tarde ese mismo d\u00eda, y poco despu\u00e9s sigui\u00f3 un parche para la versi\u00f3n Zoom 5.11.5 (9788).  Puede descargar la actualizaci\u00f3n directamente desde Zoom o hacer clic en las opciones de la barra de men\u00fa para \u00abBuscar actualizaciones\u00bb.  No recomendar\u00edamos esperar una actualizaci\u00f3n autom\u00e1tica, por varias razones.  (<strong>Actualizar:<\/strong> Aclar\u00f3 la divulgaci\u00f3n de Wardle y el tiempo de actualizaci\u00f3n).<\/p>\n<p>El historial de seguridad del software de Zoom es irregular y, en ocasiones, francamente aterrador.  La empresa lleg\u00f3 a un acuerdo con la FTC en 2020 despu\u00e9s de admitir que minti\u00f3 durante a\u00f1os acerca de ofrecer cifrado de extremo a extremo.  Wardle revel\u00f3 previamente una vulnerabilidad de Zoom que permit\u00eda a los atacantes robar las credenciales de Windows mediante el env\u00edo de una cadena de texto.  Antes de eso, se detect\u00f3 a Zoom ejecutando un servidor web completo no documentado en Mac, lo que provoc\u00f3 que Apple emitiera su propia actualizaci\u00f3n silenciosa para eliminar el servidor.<\/p>\n<p>El pasado mes de mayo, una vulnerabilidad de Zoom que permit\u00eda la ejecuci\u00f3n remota de c\u00f3digo sin hacer clic utiliz\u00f3 una degradaci\u00f3n similar y una omisi\u00f3n de verificaci\u00f3n de firma.  Dan Goodin de Ars se\u00f1al\u00f3 que su cliente de Zoom en realidad no se actualiz\u00f3 cuando lleg\u00f3 la soluci\u00f3n para ese problema, lo que requiri\u00f3 primero una descarga manual de una versi\u00f3n intermedia.  Los piratas inform\u00e1ticos pueden aprovechar las vulnerabilidades expuestas de Zoom r\u00e1pidamente, se\u00f1al\u00f3 Goodin, si los usuarios de Zoom no se actualizan de inmediato.  Menos el acceso de root, por supuesto.<\/p>\n<\/p><\/div>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/magazineoffice.com\/\">Source link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Agrandar \/ Una vulnerabilidad cr\u00edtica en Zoom para Mac OS permiti\u00f3 a los usuarios no autorizados degradar Zoom o incluso obtener acceso de root. Se ha solucionado y los usuarios&hellip;<\/p>\n","protected":false},"author":1,"featured_media":98162,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[6261,22890,6,5463,4541,107,30097,31323,23121],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/98161"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=98161"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/98161\/revisions"}],"predecessor-version":[{"id":98163,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/98161\/revisions\/98163"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/98162"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=98161"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=98161"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=98161"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}