Le développeur a déjà publié un correctif pour résoudre le problème. Cependant, l'expert en sécurité estime que
La vulnérabilité a été signalée par Patrick WardleWardle) à la conférence hacker Def Con à Las Vegas. Il a déclaré que lors de l'installation ou de la désinstallation de Zoom sur des ordinateurs avec macOS, le programme demande des autorisations spéciales à l'utilisateur. La première fois que vous lancez le programme d'installation, vous devez entrer le mot de passe de l'appareil, mais la fonction de mise à jour automatique s'exécute ensuite en permanence en arrière-plan avec des droits de superutilisateur.
A chaque mise à jour, le programme installenouveau package en vérifiant sa signature cryptographique Zoom. Cependant, les pirates auraient pu glisser au programme de mise à jour n'importe quel fichier portant le même nom que le certificat de signature Zoom. Mais avant cela, l'attaquant devait accéder au système cible, puis utiliser la vulnérabilité pour obtenir des niveaux d'accès plus élevés.
Wardle a déclaré avoir informé Zoom devulnérabilités en décembre 2021. Cependant, la mise à jour censée résoudre ce problème contenait un bogue qui permettait toujours aux pirates d'accéder aux appareils des utilisateurs de macOS. Wardle a déclaré avoir expliqué à Zoom comment résoudre le problème, mais cela n'a toujours pas été fait. Zoom lui-même a déclaré à The Verge qu'ils étaient conscients de la vulnérabilité et "travaillaient dur pour y remédier".