(圖/路透)
雲端視訊會議軟體 Zoom 的Mac電腦版本,近期被安全研究專家Patrick Wardle 披露存有2個重大風險漏洞,不但能讓駭客騙過該應用程式的簽署審查功能,甚至還能藉此取得遠端控制 Mac電腦操作系統的最高權限。
全球資安最高殿堂的Black Hat USA(美國黑帽大會)於上週四在美國盛大登場。此次應邀演講的安全研究專家Patrick Wardle,於大會上發表有關Zoom存有2個重大風險漏洞的研究顯示。
其中一個漏洞是與自動更新套件有關,允許攻擊者修改套件檔名即可騙過自動更新工具的簽章驗證,他在 2021 年 12 月向 Zoom 回報後,官方隨即釋出修補版本。
然而在釋出的修補漏洞版本之中,讓他又再發現到衍生出一個新的漏洞問題,也就是在自動更新工具的軟體安裝封包,保留了允許任何人的讀寫授權,且可把經修改過的惡意程式碼加入安裝更新的封包中,如此一來,將能讓駭客趁機取得控制電腦操作系統的最高權限,包括:執行安裝、變更、刪除或搬移存放Mac電腦上的任何檔案文件。
經由外媒The Verge報導後,對此,Zoom官方已緊急釋出最新修補漏洞的Mac版Zoom 5.11.5版本。建議使用Mac電腦的Zoom用戶,務必盡快升級至最新版本,以防資安漏洞風險。