Novamente uma grave falha de segurança no Zoom é descoberta e afeta diretamente o MacOS e o sistema de permissões do ambiente.
Sempre controverso uma nova falha de segurança no Zoom é descoberta e desta vez afeta diretamente o MacOS.
A falha é tão grave que o instalador do aplicativo burla o sistema de permissões do MacOS e garante acesso total ao sistema pelo agente.
No caso um agente de instalação mal intencionado poderia obter acesso total ao sistema.
Falha de segurança no Zoom: veja com o MacOS é afetado
No processo de instalação o aplicativo solicita que o usuário digite a senha, pois é necessário permissões especiais.
As atualizações automáticas preservam tais permissões e são sempre executadas em segundo plano, o que teoricamente não é um problema.
No processo de atualização o aplicativo verifica se o pacote de atualização passa no processo de assinatura criptográfica.
O grande problema é que este processo de checagem tem um bug, ele simplesmente valida para verdadeiro qualquer arquivo com o mesmo nome do certificado de assinatura do Zoom.
Com esta falha qualquer tipo de malware pode ser executado no MacOS com privilégios elevados.
Ainda existem problemas no Zoom
O pesquisador de segurança responsável pela descoberta da falha seguiu os protocolos de segurança e avisou a empresa sobre a descoberta.
A empresa publicou um patch de correção, porém a correção também possuía um bug.
Após 8 meses o pesquisador então tornou pública a informação sobre a falha, neste meio tempo a Zoom publicou o segundo patch de correção que ainda contém um bug.
O pacote a ser instalado agora é movido para uma pasta do usuário root, o que deveria bastar para evitar trocas por arquivos maliciosos.
No entanto, ele conserva as mesmas permissões de leitura e escrita, o que significa que ainda pode ser alterado por um usuário comum, o que pode ser explorado por um atacante.
O pesquisador revela sua frustração ao divulgar que além de informar a falha de segurança também informou como corrigi-la e mesmo após 8 meses a Zoom não conseguiu resolver por completo a situação.
