Информационной безопасности эксперты спорят по поводу того или иного исследователя все сделал правильно в общественность с двумя новыми серьезными “нулевого дня” огрехи зум видеоконференций приложение, которое становится все более популярным, как люди и студенты, работа на дому в COVID-19 блокировки.

Ранее на этой неделе, исследователь Феликс безопасности первого Зеле заметил сомнительный метод установки Zoom для своего клиента Apple macOS, который не требует от пользователей, чтобы нажать на Установить.

“Оказывается, они (АБ)использовать предварительную установку скрипты, вручную распаковать с помощью 7zip может в комплекте [архив утилиты] и установить его / “приложения”, если текущий пользователь является админом в группе (корень не требуется),” Зеле сказал.

Основатель зум и главный исполнительный директор Эрик Юань Зеле поблагодарил и сказал, что установщик был разработан таким образом, чтобы облегчить видеоконференций для пользователей Mac.

Исследователь безопасности и бывший сотрудник Агентства национальной безопасности США Патрик Уордл взял в руки дубину и опубликовал технические подробности о установки, таким образом, что Зеле сказал, что был использован для macOS обеспечением.

Уордл обнаружили, что увеличение достигнуто согласие-установка с помощью интерфейса прикладного программирования, которая считается устаревшей компанией Apple, то есть он не должен использоваться разработчиками.

API-интерфейс является опасным, поскольку он не выполняет проверку того, что он выполняет в качестве корневого для macOS суперпользователя который имеет полный доступ ко всем частям системы.

С установки, сигнал уже создана серьезная уязвимость, приводящая к эскалации, что Уордл маркировкой нулевого дня, которые могут быть использованы местными, простым пользователям, чтобы получить корневой доступ, который является проблематичным в условиях предприятия.

Второй ноль-день, что Уордл документально позволяет вредоносному коду быть введен в пространство процесса, который обрабатывает зум доступ к микрофону и камере на компьютере Mac.

Выбор программирования зум здесь может позволить вредоносным кодом для записи видео конференций пользователей, и surreptitously микрофоны доступа и камер с людьми, не получив предупреждения.

Выводы Уордл представлены в технологии средств массовой информации Соединенных Штатов, но он не предупредил приблизиться к ним до публикации технические детали уязвимости.

Это обычное для исследователей безопасности, чтобы сдержать публикация уязвимостей до поставщика в вопрос имел возможность проверить их и по разработке и выпуску патчей для пользователей.

Решение Уордл не следовать по защите информации несет ответственность производственная практика раскрытие информации привело к критике со стороны своих сверстников.

Гугла директор по безопасности и конфиденциальности Хизер Адкинс были среди тех, кто публично усомнился Уордл огласку, после чего бывший Facebook главного сотрудника по вопросам информационной безопасности и Стэнфордского университета Интернета обсерватории исследователь Алекс Стамос.

Удивительно, что Уордл нашли поддержку от проекта Google ноль исследователь Тавис Орманди кто сказал, что недостатки должны быть исправлены сейчас, а не позже.

Орманди заявил, что холдинг с публикации до зум был пропатчен установщик должен только помочь будущих пользователей, а не огромное количество людей, которые загружают видео приложение конференц-связи в настоящее время на своих систем.

По мнению Орманди, что Уордл ничего не сделал неправильно, и вместо внесения пользователи защищены от опасностей, а корпоративной репутации любой ценой.

“СМИ могут быть инструментом, чтобы сообщить; никто не обещал, что это будет лестно для бизнес-интересы”, – сказал Орманди.

Зум сказал сайт ITnews , что он будет заботиться о уязвимостям, но не устанавливает срок для исправления.

“Мы активно изучают и работают над решением этих вопросов.

Мы находимся в процессе обновления нашего установщика, чтобы устранить одну проблему и будем обновлять наш клиент, чтобы смягчить микрофон и вопрос камеры,” представитель сказал Зума.
 

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here