Der Entwickler hat bereits einen Patch veröffentlicht, um das Problem zu beheben. Der Sicherheitsexperte glaubt jedoch daran
Die Schwachstelle wurde von Patrick Wardle gemeldetWardle) auf der Hackerkonferenz Def Con in Las Vegas. Er sagte, dass das Programm bei der Installation oder Deinstallation von Zoom auf Computern mit macOS nach speziellen Berechtigungen des Benutzers fragt. Beim ersten Ausführen des Installers muss zwar das Gerätepasswort eingegeben werden, dann läuft aber die automatische Update-Funktion ständig im Hintergrund mit Superuser-Rechten.
Bei jedem Update wird das Programm installiertneues Paket, indem Sie seine kryptografische Zoom-Signatur überprüfen. Die Hacker könnten dem Updater jedoch jede Datei mit demselben Namen wie das Zoom-Signaturzertifikat zugesteckt haben. Aber zuvor musste sich der Angreifer Zugriff auf das Zielsystem verschaffen und danach die Schwachstelle ausnutzen, um höhere Zugriffsebenen zu erlangen.
Wardle sagte, er habe Zoom darüber informiertSchwachstellen im Dezember 2021. Das Update, das dies beheben sollte, enthielt jedoch einen Fehler, der es Hackern weiterhin ermöglichte, Zugriff auf die Geräte von macOS-Benutzern zu erhalten. Wardle sagte, er habe Zoom gesagt, wie das Problem behoben werden könne, aber es sei immer noch nicht geschehen. Zoom selbst teilte The Verge mit, dass man sich der Schwachstelle bewusst sei und „hart daran arbeite, sie zu beheben“.