Zoom a corrigé une grave faille de sécurité qui aurait pu permettre à des pirates de prendre le contrôle d'un appareil macOS exécutant un logiciel de visioconférence.
Cette décision est intervenue après que l'expert en sécurité Mac, Patrick Wardle, ait démontré comment un acteur malveillant pouvait abuser de la façon dont macOS gère les correctifs logiciels pour déclencher une élévation de privilèges et essentiellement prendre le contrôle de l'appareil.
Initialement, il a déclaré que la vulnérabilité exploitait plusieurs failles et que la société avait corrigé la plupart d'entre elles. Cependant, il en restait un, qui a été réparé ultérieurement pour finalement atténuer complètement le problème.
Programme de mise à jour de triche
Le problème réside dans la manière dont macOS gère les mises à jour. Lorsqu'un utilisateur tente pour la première fois d'installer une application ou un programme sur le point de terminaison, celui-ci doit être exécuté avec des autorisations utilisateur spéciales, souvent accordées par l'envoi d'un mot de passe. Après cela, les mises à jour automatiques s'exécutent indéfiniment, avec les privilèges de superutilisateur.
Dans le cas de Zoom, le programme de mise à jour vérifierait d’abord si l’entreprise a signé cryptographiquement le nouveau package et, si tel est le cas, procéderait à la mise à jour. Cependant, si le programme de mise à jour obtenait un fichier portant le même nom que le certificat de signature Zoom, il l'exécuterait. En d’autres termes, un attaquant pourrait faire passer n’importe quel malware via le programme de mise à jour, même si cela impliquait de donner à un tiers un accès complet à l’appareil.
La faille a ensuite été identifiée comme CVE-2022-28756 et a été corrigée dans Zoom pour macOS version 5.11.5, qui est désormais disponible en téléchargement.
Bien que Wardle ait initialement décrit le bug comme relativement facile à corriger, il a même été surpris de la rapidité avec laquelle Zoom a résolu le problème : « Bravo à Zoom pour la solution (incroyablement) rapide ! Wardle a tweeté par la suite. "En annulant le correctif, nous constatons que le programme d'installation de Zoom appelle désormais lchown pour mettre à jour les autorisations de mise à jour .pkg, empêchant ainsi la subversion malveillante."
Via : The Verge (Ouvre dans un nouvel onglet)