Loydu.com'a Hoşgeldiniz

Sitemizde çeşitli kaynaklardan derlenen haber, bilgi ve içerikleri bulabilirsiniz. Şikayet ve telif bildirimleriniz için lütfen tıklayın.

Zoom yükleyicisi, kimi araştırmacının macOS'ta kaynak erişim yolunu hacklemesine mazeret verdi

Zoom yükleyicisi, kimi araştırmacının macOS'ta kaynak erişim yolunu hacklemesine mazeret verdi

Bazı emniyet araştırmacısı, biraz saldırganın özbeöz işletim sistemine erişim sürdürmek için Zoom'un macOS sürümünden yararlanabilmesinin kimi yolunu buldu. İstismarın ayrıntılar?...

Bazı emniyet araştırmacısı, biraz saldırganın özbeöz işletim sistemine erişim sürdürmek için Zoom'un macOS sürümünden yararlanabilmesinin kimi yolunu buldu.

İstismarın ayrıntıları, Mac güvenlik uzmanı vasıtasıyla bahşedilen yaklaşık sunumda yayınlandı. Patrick Wardle, Cuma günü Las Vegas'taki Def Con hack konferansında. İlgili hataların kimisi Zoom tarafından zaten düzeltildi, zar zor tahlilci keza acilen sistemleri etkileyen yamalanmamış yaklaşık selamet açığı keza sundu.

İstismar, birlikte çalışması gereken Zoom uygulamasının yükleyicisini hedefleyerek çalışır. Asıl Zoom uygulamasını bazı bilgisayardan üstüne atmak ya da çıkarmak dolayı özel kullanıcı izinleri. Ihracatçı, uygulamayı sisteme ilk eklerken kimi kullanıcının şifresini girmesini gerektirse hem, Wardle amma istemsiz güncelleme işlevinin sonradan süper kullanıcı ayrıcalıklarıyla arka planda bu yana çalıştığını buldu.

Yaklaşık imtiyaz yükseltme saldırısı

Zum yapıldığında bazı güncelleme yayınladığında, güncelleyici işlevi, Zoom vasıtasıyla kriptografik gibi imzalandığını kontrol ettikten sonuç papaz adayı paketi yükler. Anca, otorite yönteminin uygulanma biçimindeki bir fay, güncelleyiciye Zoom'un imzalama sertifikasıyla farksız ada kalıp kimisi dosyanın verilmesinin testi dövmek için iş olacağı anlamına geliyordu - böylece bir girişken bazıları tür kötü doğrultusunda olan yazılımın yerine geçebilir ve onun kadar çalıştırılmasını sağlayabilir. kabarık ayrıcalığa efendi güncelleyici.

Kadans, biraz saldırganın sayı sisteme açılış erişimi önceden yakın ettiğini varsayan ve sonradan daha yüksek bir erişim düzeyi getirmek dolayı amma istismar işletmeci bazı özel hak takviye saldırısıdır.

Daha başta, Def Con beraber farksız hafta düzenlenen Black Sıra siber güvenlik konferansında Wardle, kar amacı gütmeyen şirketler kadar açık kaynaklı emniyet yazılımından kaldırılan algoritmaların eksik kullanımı dair detaylı bilgi verdi. "Bekletmek doğrusu damar bozucuydu. .. altı, yedi, sekiz mehtap"

Güvenilir ortaya çıkarma protokollerini uygulama yapan Wardle, Zoom'a emniyet açığı ilgili başka yılın Boşluk ayında talimatlar verdi. Hayal kırıklığına uğrayarak, Zoom'dan giren başlangıç düzeltmenin, selamet açığından biraz bir kat daha dolambaçlı yaklaşık şekilde yararlanılabileceği anlamına giren başka bazı yanlış içerdiğini söyledi, nitekim bu ikinci derecede hatayı Zoom'a açıkladı ve araştırmayı yayınlamadan ilkönce sekiz ay bekledi.

<"Benim amacıyla bu bazı sorunluydu dolayı sadece hataları Zoom'a bildirmekle kalmadım, yine de hataları ve kodu nasıl düzelteceğimi keza bildirdim," dedi Wardle konuşmadan ilk kez Verge'e yaptığı yaklaşık telefon görüşmesinde. "Yani, Zoom'un özbeöz Mac sürümlerinin kullanıcıların bilgisayarlarında savunmasız olduğunu kasten altı, yedi, sekiz ay bekletmek gerçekten cesaret bozucuydu."

Def Con etkinliğinden birkaç hafta ilk olarak, Wardle, Zoom'un başlangıçta keşfettiği hataları düzelten biraz yama yayınladığını söyledi. Hemen Hemen Hiç bir kat daha yakından çözümleme edildiğinde, başka yaklaşık saçma kusur, hatanın yenge kullanma edilebilir olduğu anlamına geliyordu.

Güncelleme yükleyicisinin yeni sürümünde, kurulacak kimi paket ilk olarak "altında yatan neden" kullanıcının kalıp olduğu biraz dizine taşınır.

Hemen Hemen Unix sistemlerinin (ama bunlardan biri macOS'dur) bazı inceliği dolayı, güncel bir dosya öbür yaklaşık konumdan köken dizine taşındığında, daha ilkönce efendi olduğu tıpkı kanaat-yazma izinlerini korur. Dolayı, bu durumda, bununla birlikte düzgün amma kullanıcı vasıtasıyla değişebilir. Ve değiştirilebildiği dolayı, oyunbaz bazı kullanıcı aynı anda için dosyanın içeriğini bir bir seçtikleri bazı dosyayla değiştirebilir ve onu kaynak olmak uygun kullanabilir.

Bu kusur derhal Zoom'hem de yayındayken, Wardle diyor. düzeltmesi ağır kolay ve bunun üstünde herkesin önce konuşmanın, şirketin bu sorunu işçi yahut geç halletmesini korumak uygun "tekerlekleri yağlayacağını" umuyor.

Zoom, için adresteki bazı açıklama isteğine cevap vermedi. yayınlanma zamanı.

.


Teknoloji Haberleri Kategorisinden Haberler