【軟件安全】安全專家接連發現2個漏洞 Zoom急推緊急修復

科技 18:17 2022/08/15

分享:

分享:

在首次安裝時,Zoom安裝器(Installer)會要求用戶輸入密碼, 若是自動更新Zoom App版本時,自動更新器(Auto Updater)只會檢查更新套件檔是否符合憑證,通過檢查後就會自動更新。

自動更新功能可以讓用戶使用最新版本、最高效能的軟件,但Zoom早前卻被安全專家發現,其在更新時出現漏洞,令黑客可以控制Mac電腦。事件經外媒報道後,Zoom隨即為Mac版本Zoom推出緊急修復程式。

【手機安全】個人資料隨時被盜 研究:小米兩款手機被指存安全漏洞

Mac版Zoom已兩大漏洞

安全專家Patrick Wardle在今年DefCon世界黑客大賽上,發表兩個漏洞研究顯示,Zoom在更新程式時對套件驗證不足。在首次安裝時,Zoom安裝器(Installer)會要求用戶輸入密碼, 若是自動更新Zoom App版本時,自動更新器(Auto Updater)只會檢查更新套件檔是否符合憑證,通過檢查後就會自動更新。該Auto Updater具備Super user權限,可以在背景執行。但Wardle發現的漏洞在於,只要黑客修改新套件檔名就能通過Updater的簽章驗證,即使是假的更新套件,也能順利安裝至Mac電腦。

【黑客入侵】55%金融機構曾遭勒索軟件攻擊 贖金支付率按年增1倍

Wardle還公布另一個相關漏洞,其將經過Auto Updater安裝驗證的套件加以改造,如注入程式碼。他發現,欺騙Zoom重新安裝(已經改造過的)新套件,藉此取得Zoom Auto Updater的Super user權限。利用這兩個漏洞,黑客即可取得最高權限,可執行安裝、變更或刪除Mac電腦上的任何檔案。

事件經外媒報道後,Zoom已於上周末緊急釋出最新Mac版Zoom 5.11.5版本。

【網絡安全】微軟漏洞懸賞計畫 過去1年已派1億獎金

責任編輯:廖淑瑩

《創業ideas》每集請來香港企業品牌,分享疫下營商Tips。即看最新一集:

開啟hket App,閱讀全文
緊貼財經時事新聞分析,讚好hket Facebook 專版
訂閱《香港經濟日報》電郵通訊
收取第一手財經新聞資訊 了解更多投資理財知識 提交代表本人同意收取香港經濟日報集團所發出的推廣訊息,你也可以查閱本網站的私隱政策使用條款