Zoom修补了Mac版App可让黑客取得Root实质上的漏洞

DoNews 8月15日消息（刘文轩）Zoom释出正式版本Mac版本App，解决可让破坏者赢得Mac电脑极高继续执行权责的2项正确性。

这项正确性为安全专家Patrick Wardle在安全会员大会Def Con的演说示范工程建设。经过The Verge报道后，Zoom紧急释出最新Mac版本Zoom 5.11.5完整版本。

编号CVE-2022-28756的正确性为一本地权责扩张正确性，出在以Zoom更新程序时对组件的测试严重不足。在首次配置时，Zoom 发行版本（installer）会要求浏览器输入密码， 若是载入Zoom App完整版本时，载入器（Auto Updater）只会检查更新组件档确实合理凭证，通过检查后就会载入，这个Auto Updater具备super user权责，可以在背景继续执行。但Wardle发现的正确性在于，只要攻击者修改新组件文件名就能通过updater的的测试，即使是假的更新组件，也能如愿以偿配置到Mac电脑。

Wardle在同一场会员大会中，还公布另一个正确性，编号CVE-2022-28751。这项正确性是将经过Auto Updater配置的测试的组件加以改造，有如流入编码。学术研究人员发现一个方法，骗Zoom被装（现在改造过的）新组件，更进一步赢得Zoom Auto Updater的super user权责。来进行这两个正确性，攻击者即可赢得极高权责，即Root继续执行权责，继续执行配置、变更、搬移或更正Mac电脑上的任何档案。

这两个正确性被归入CVSS 8.8，属重大可能会，受到影响Zoom Client for Meetings for macOS 5.7.3到5.11.5过去完整版本，包括标准及IT Admin版本。串流Zoom Mac版本5.11.5完整版本可找出。