Zoom は、ハッカーがユーザーのオペレーティング システムを制御できるようにする可能性のある macOS のバグに対するパッチを発行しました (経由 マックルーマーズ)。 の セキュリティ速報の更新Zoom はこの問題 (CVE-2022-28756) を認識しており、Mac のアプリのバージョン 5.11.5 に修正が含まれていると述べています。
セキュリティ研究者であり、オープンソースの macOS セキュリティ ツールを作成する非営利団体 Objective-See Foundation の創設者である Patrick Wardle は、最初にこの欠陥を発見し、先週の Def Con ハッキング カンファレンスで発表しました。 私の同僚である Corin Faife がイベントに参加し、Wardle の調査結果を報告しました。
Corin 氏が説明するように、エクスプロイトは Zoom インストーラーを標的にしているため、実行するには特別なユーザー権限が必要です。 このツールを活用することで、ハッカーがパッケージに Zoom の暗号署名を付けることで、本質的に Zoom を「だまして」悪意のあるプログラムをインストールさせることができることを Wardle は発見しました。 ここから、攻撃者はユーザーのシステムにさらにアクセスして、デバイス上のファイルを変更、削除、または追加できるようになります。
パッチを元に戻すと、Zoom インストーラーが lchown を呼び出してアップデート .pkg のアクセス許可を更新し、悪意のあるサブバージョンを防止していることがわかります。 pic.twitter.com/00xjqKQsXs
— パトリック・ワードル (@patrickwardle) 2022 年 8 月 14 日
「(信じられないほど) 迅速な修正のためにズームする Mahalos!」 ワードルはそれに応えて言った Zoomのアップデートへ。 「パッチを元に戻すと、Zoom インストーラーが lchown を呼び出してアップデート .pkg のアクセス許可を更新するようになり、悪意のあるサブバージョンが防止されることがわかりました。」
まず Mac でアプリを開いて、 zoom.us (これは、お住まいの国によって異なる場合があります)、画面上部のメニュー バーから。 次に、選択します アップデートを確認、利用可能な場合、Zoom は最新のアプリ バージョンと変更内容の詳細を含むウィンドウを表示します。 ここから、選択 アップデート ダウンロードを開始します。