Ofertas PCs e Hardware Black Friday Kabum

Imagem post

São Francisco, 13 de agosto (IANS) Um pesquisador de segurança encontrou uma maneira de um invasor aproveitar a versão macOS do Zoom para obter acesso a todo o sistema operacional.

De acordo com o The Cibersistemas, os detalhes da exploração foram divulgados em uma apresentação do especialista em segurança do Mac Patrick Wardle na conferência de hackers Def Con em Las Vegas esta semana.

O Zoom já corrigiu alguns dos bugs envolvidos, mas o pesquisador também apresentou uma vulnerabilidade não corrigida que ainda afeta os sistemas agora.

jogos em oferta

A exploração funciona direcionando o instalador para o aplicativo Zoom, que precisa ser executado com permissões especiais de usuário para instalar ou remover o aplicativo Zoom principal de um computador.

Embora o instalador exija que um usuário digite sua senha ao adicionar o aplicativo ao sistema pela primeira vez, Wardle descobriu que uma função de atualização automática era executada continuamente em segundo plano com privilégios de superusuário.

Quando o Zoom emite uma atualização, a função de atualização instala o novo pacote após verificar se ele foi assinado criptograficamente pelo Zoom.

Mas um bug na forma como o método de verificação foi implementado significava que fornecer ao atualizador qualquer arquivo com o mesmo nome do certificado de assinatura do Zoom seria suficiente para passar no teste – para que um invasor pudesse substituir qualquer programa de malware e executá-lo pelo atualizador com privilégio elevado, disse o relatório.

O resultado é um ataque de escalonamento de privilégios, que pressupõe que um invasor já obteve acesso inicial ao sistema de destino e, em seguida, emprega uma exploração para obter um nível mais alto de acesso.

Nesse caso, o invasor começa com uma conta de usuário restrita, mas se transforma no tipo de usuário mais poderoso – conhecido como “superusuário” ou “raiz” – permitindo adicionar, remover ou modificar qualquer arquivo na máquina.

(Exceto pelo título, o restante deste artigo do IANS não foi editado)

Para mais notícias sobre tecnologia, análises de produtos, recursos e atualizações de tecnologia científica, continue lendo Digit.in

Com informações de Digit Magazine.

antonio-cesar-150x150
António César de Andrade

Apaixonado por tecnologia e inovação, traz notícias do seguimento que atua com paixão há mais de 15 anos.