Zoom su Mac ha una grave vulnerabilità, aggiornare subito

Zoom su Mac ha una grave vulnerabilità, aggiornare subito

Il popolare software di videocomunicazione può consentire ad un aggressore di sfruttare i permessi di root

di pubblicata il , alle 11:01 nel canale Sicurezza
Zoom
 

La versione Mac di Zoom, il software di videochiamata e videoconferenza che ha conosciuto un successo inaspettato nel periodo del lockdown dovuto alla pandemia, è affetto da una vulnerabilità grave che può consentire ad un attaccante di riuscire a sfruttare i permessi di root.

E' lo sviluppatore ed esperto di sicurezza Patrick Wardle che ha scoperto per primo la vulnerabilità, illustrandola nei giorni scorsi al Def Con di Las Vegas. Wardle ha spiegato su che su Mac l'installer di Zoom richiede la password all'utente durante le operazioni di installazione o disinstallazione - è una pratica abbastanza comune - ma la sua funzione di aggiornamento automatico, abilitata come impostazione predefinita, non ne ha invece bisogno: lo sviluppatore ha infatti scoperto che il programma di aggiornamento Zoom è di proprietà e viene eseguito come utente root.

Un meccanismo di funzionamento apparentemente sicuro dal momento che solo i client Zoom avrebbero potuto utilizzare la funzione di aggiornamento con privilegi di root e allo scopo di estrarre solamente i pacchetti firmati da Zoom.

Wardle ha però scoperto che per aggirare il controllo sarebbe stato sufficiente indicare artificiosamente il nome del pacchetto lecito ("Zoom Video ...  Certification Authority Apple Root CA.pkg"). In altri termini qualsiasi aggressore avrebbe potuto indurre Zoom ad eseguire un downgrade ad una versione precedente con bug e falle da sfruttare a scopo di compromissione, o addirittura passare un pacchetto completamente diverso per guadagnare l'accesso di root al sistema.

La scoperta è stata comunicata a Zoom prima della divulgazione pubblica, anche se la vulnerabilità era ancora accessibile durante la presentazione che lo sviluppatore ha tenuto al Def Con nella giornata di sabato. Zoom ha emesso un bollettino di sicurezza successivamente alla presentazione e una patch che aggiorna Zoom alla versione 5.11.5 e risolve il problema. L'aggiornamento è disponibile direttamente dal sito di Zoom oppure all'interno del programma con l'usuale meccanismo di verifica degli aggiornamenti. Data la serietà della vulnerabilità, il consiglio è quello di aggiornare manualmente il prima possibile.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^