Zoom Mac uygulamasında kritik güvenlik açığı: Sisteme tam erişim!

1 dakika 37 saniye okunma süresi.

600x338zoom mac uygulamasinda kritik guvenlik acigi

zoom mac uygulamasinda kritik guvenlik acigi151705 0

NSA için çalışan kıdemli bir güvenlik araştırmacısı olan Patrick Wardle, Zoom’un Mac uygulamasında güvenlik açığı buldu. Saldırganın root erişimi elde etmesine ve tüm işletim sistemini denetim etmesine müsaade veriyor.

Zoom, hareket tanıma özelliğini masaüstüne getirdi

3 ay evvel eklendi

Otomatik güncelleyicideki hatadan yararlanıyor

Saldırı, Zoom’u Mac bilgisayara yükleyebilmek yahut kaldırabilmek için özel kullanıcı müsaadeleri gerektiren Zoom macOS yükleyicisinden faydalanarak çalışıyor. Yükleyici, kullanıcı parolası girmeyi gerektiriyor lakin Wardle, sonrasında otomatik güncelleme fonksiyonunun superuser ayrıcalıklarıyla art planda daima olarak çalıştığını belirtiyor.

Yama tahlil olmadı

Zoom, bir güncelleme yayınladığında otomatik güncelleyicinin onayından geçiyor, sonra yükleme süreci başlatılıyor. Fakat doğrulama yolundaki bir yanılgı, saldırganın güncelleyiciyi dilediği formda ayarlamasını sağlıyor. Güncelleyici, yetkili kullanıcı ayrıcalıklarıyla çalıştığından Wardle, saldırganın güncelleme fonksiyonu aracılığıyla her türlü programı çalıştırabileceğine dikkat çekiyor. Enteresan olarak bu güvenlik açığı Zoom’a bildirilmesine ve tahlil yolu sunulmasına karşın, Zoom, yamayı yeni yayınlıyor lakin sorun hale devam ediyor.

Zoom’un en son güncellemesinde hala etkin olduğu belirtilen açık, saldırganın bir Mac bilgisayarda root yahut superuser ayrıcalığı kazanmasına müsaade veriyor. Bu, teoride, bilgisayardaki rastgele bir evrakın müsaadesiz olarak silinebileceği, değiştirilebileceği yahut yeni bir belge eklenebileceği manasına geliyor.

Güncelleme yayınlanmadı

Zoom’un güvenlik ve kapalılık PR önderi, Zoom’un Mac sürümündeki otomatik güncelleyeciden kaynaklı güvenlik açığının farkında olduklarını ve bu açığı kapatmak için çalıştıklarını söylüyor.

You may also like...

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

linktr linktr tumblr tumblr tumblr creativelive flickr flickr flickr flickr flickr flickr flickr docdroid docdroid docdroid msdn technet blogger hackathon proven turkcell hubpages openstreet bandlab esl docdroid docdroid docdroid