近日,疫情期间大火的视频会议软件ZOOM更新修复了一个BUG,该BUG可能会让恶意程序提升自身的安装能力,进而提高权限并控制系统。
ZOOM
这个BUG是由非营利Mac OS安全组织Objective-See基金会(Objective-See Foundation)的创始人Patrick Wardle首先发现的。Wardle在上周Def Con大会上介绍了ZOOM在安装或卸载时要求用户输入密码,而后在启用了默认的自动更新功能后,就不需要输入密码了。Wardle通过这一点发现ZOOM的更新程序会root机器。
虽然这本身非常安全,因为只有通过官方签名的ZOOM客户端,可以提取root权限。可问题是,在自动安装程序对软件包的验证和实际安装过程之间有一个时间点,允许攻击者在更新中注入恶意代码。这意味着一些“有心人”在这期间可以用恶意代码获得对目标计算机的控制。
Wardle在演讲前向ZOOM透露了他的发现,BUG在一定程度上得到了解决,但在Wardle周六演讲时,一些问题依旧没能得到解决。不过,ZOOM在当天晚些时候发布了安全公告,随后很快发布了ZOOM 5.11.5版本(9788)的补丁以解决BUG。