Bu ayın başlarında Zoom, Black Hat konferansında açıklanan iki ayrıcalık yükseltme kusurunu düzeltti. Ancak, yama daha sonra atlandı ve başka bir çözüm gerektirdi.
Black Hat’te, siber güvenlik araştırmacısı ve Objective-See’in mucidi Patrick Wardle, yerel, ayrıcalığı olmayan bir davetsiz misafir veya kötü niyetli bir program tarafından sürekli olarak kök erişimine yükselmek için kullanılabilecek iki macOS Zoom istemci hatası sundu.
Basitçe söylemek gerekirse, iki güvenlik açığının bir arada kullanılmasıyla normalde buna izin verilmemesi gerektiğinde yüklemek ve yürütmek için Zoom’a kötü amaçlı bir güncelleme gönderilebilir.
Zoom, 9 ve 13 Ağustos’taki sorunlar için ayrı düzeltmeler sağladı ve Wardle, şirketi hızlı yanıt süresi için övdü.
Ancak Zoom’un en son güvenlik bültenlerine basit bir bakış, beş gün sonra aynı sorun için üçüncü bir düzeltmenin kullanıma sunulmasından bu yana bir şeylerin ters gittiğini ortaya koyuyor.
Offensive Security’de içerik geliştirici ve macOS güvenlik araştırmacısı olan Csaba Fitzl, Zoom’un düzeltmesinin “… yetersizdi, atlatmayı başardım” diye tweet attı. Fitzl düzeltmeyi nasıl aştığını açıklamadı, ancak Zoom üçüncü güvenlik açığını ifşa ettiği için ona kredi veriyor.
5.7.3’ten daha eski bir sürüm kullanmadıkları sürece, macOS’taki Zoom kullanıcılarının istemcilerini hemen 5.11.6 sürümüne güncellemeleri önerilir. İkincisi sizin için geçerliyse, yakın zamanda ortaya çıkan bir dizi ek güvenlik sorunu nedeniyle yükseltme yapmak iyi bir fikir olabilir.
Bilgi güvenliği uzmanı, şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışmaktadır.
Risk ve kontrol süreci, güvenlik denetim desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.