Розробник уже випустив патч, що виправляє проблему. Проте фахівець із безпеки вважає, що
Про вразливість повідомив Патрік Вордл (PatrickWardle) на хакерській конференції Def Con у Лас-Вегасі. Він розповів, що при установці або видаленні Zoom на комп'ютерах з MacOS програма запитує спеціальні дозволи у користувача. При першому запуску інсталятора необхідно ввести пароль від пристрою, проте функція автоматичного оновлення постійно виконується у фоновому режимі з правами суперкористувача.
При кожному оновленні програма встановлюєновий пакет, перевіряючи його криптографічний підпис Zoom. Однак хакери могли підсунути програмі оновлення будь-який файл з тим самим ім'ям, що й сертифікат підпису Zoom. Але перед цим зловмисник мав отримати доступ до цільової системи, а вже після цього скористатися вразливістю, щоб отримати вищі рівні доступу.
Вордл розповів, що він повідомив Zoom проуразливості у грудні 2021 року. Однак оновлення, яке повинно було виправити це, мало помилку, яка все ще дозволяла хакерам отримувати доступ до пристроїв користувачів macOS. За словами Вордла, він розповідав Zoom, як можна вирішити проблему, але цього досі не зробили. У самому Zoom виданню The Verge заявили, що вони знають про вразливість і «дбайливо працюють над її усуненням».