Zoom patcht kritieke patch op macOS

De eerste twee patches zijn uitgekomen rond hackersconferentie DEF CON, die begin deze maand plaatsvond in Las Vegas. Daar heeft Mac-securityexpert Patrick Wardle een presentatie gehouden over de Zoom-kwetsbaarheden die gedicht zouden moeten zijn met die patches. Een aanvaller met lokale rechten, of binnengekomen malware, kan daarmee vanuit de gewone gebruikersrechten dan diepgaande rootrechten verkrijgen op het Mac-besturingssysteem.

Patch omzeilen

Daags na de presentatie van Wardle op DEF CON heeft Zoom een patch uitgebracht, nadat de softwaremaker net ervoor al een eerste patch had uitgebracht. De security-onderzoeker heeft Zoom geprezen voor de snelle reactie. Daarna is echter gebleken dat de kwetsbaarheid met deze tweede patch niet goed is gefixt. Onderzoeker Csaba Fitzl van Offensive Security heeft namelijk geconstateerd dat de fix van Zoom "incompleet" was. Hij kon de patch omzeilen en alsnog rootrechten op macOS bemachtigen.

Vervolgens heeft Zoom gauw een derde patch uitgebracht. In de release notes daarvoor spreekt het bedrijf dank uit aan Fitzl voor het melden van de onderliggende kwetsbaarheid. Het gaat hierbij om een zwakke plek in het automatische updateproces voor de Zoom-client op Macs. Aanvallers kunnen dit benutten door een malafide update te 'voeren' aan de Zoom-software, zo legt The Register uit. Het updaten gebeurt met rootrechten die dan ook voor oneigenlijke updates zijn te benutten.