blog.fcuzhhorod.com

Dua kelemahan pada klien macOS Zoom dapat memberikan hak akses root kepada penyerang lokal atau memungkinkan penyerang mengakses kamera dan mikrofon pengguna.

MANILA, Filipina – Zoom mengatakan telah merilis pembaruan keamanan untuk mengatasi kerentanan pada klien macOS-nya setelah peneliti keamanan di Jamf menemukan dua kelemahan pada klien yang dapat memberikan penyerang lokal yang tidak memiliki hak istimewa akses ke hak istimewa root (atau administratif) atau memungkinkan penyerang untuk mendapatkan akses ke mikrofon dan kamera pengguna.

Itu juga menghentikan pengembangan fitur selama 90 hari untuk mengatasi masalah keamanan dan privasi pada aplikasi.

Itu Laporan TechCrunchyang dirilis pada Rabu, 1 April, kata Patrick Wardle dari Jamf, menulis tentang dua kelemahan zero-day di blognya.

Kesalahan pertama berkaitan dengan penginstal Zoom di macOS. Zoom menggunakan fitur yang memungkinkan seseorang dengan akses administratif menginstal aplikasi tanpa interaksi pengguna apa pun.

Pernah bertanya-tanya bagaimana caranya @zoom_us penginstal macOS melakukan tugasnya tanpa Anda pernah mengklik instal? Tampaknya mereka (ab) menggunakan skrip pra-instal, mengekstrak aplikasi secara manual dengan 7zip yang dibundel dan menginstalnya di/Applications jika pengguna saat ini berada di grup admin (tidak diperlukan root). pic.twitter.com/qgQ1XdU11M

— Felix (@c1truz_) 30 Maret 2020

Meskipun hal ini tampaknya mudah dilakukan, cara kerjanya juga berarti bahwa seseorang yang memiliki akses fisik ke komputer yang ingin mereka serang (atau dikenal sebagai penyerang lokal) dapat melakukan pra-injeksi sesuatu yang berbahaya ke dalam penginstal Zoom untuk melakukan root pada komputer tersebut, sehingga membuat lebih mudah bagi mereka untuk menginstal lebih banyak malware di komputer itu.

Bug kedua di Zoom dapat memberikan penyerang lokal akses ke webcam dan mikrofon di Mac. Menurut Wardle, penyerang dapat memasukkan kode berbahaya ke dalam Zoom untuk memberikan penyerang akses yang sama ke kamera dan mikrofon seperti yang dimiliki Zoom. Wardle menambahkan, “Tidak ada perintah tambahan yang akan ditampilkan, dan kode yang dimasukkan dapat merekam audio dan video secara sewenang-wenang.”

Informasi lebih lanjut tentang kesalahan penginstal macOS Zoom dapat ditemukan di sini Analisis VMRay oleh Felix Seele.

Zoom mengatakan pihaknya merilis patch untuk mengatasi pengungkapan kerentanan Wardle dalam postingan blog tanggal 1 April.

Zoom menghentikan pengembangan fitur

Zoom, sebagai tanggapan atas meningkatnya jumlah masalah yang ditemukan pada aplikasinya, juga mengumumkan bahwa mereka membekukan pengembangan fitur selama 90 hari.

Perusahaan tidak akan menambahkan fitur baru sampai selesai memperbaiki rangkaian fitur yang ada.

Eric Yuan, CEO Zoom, menulis: “Selama beberapa minggu terakhir, mendukung masuknya pengguna ini merupakan upaya yang luar biasa dan satu-satunya fokus kami. Namun, kami menyadari bahwa kami telah gagal memenuhi privasi komunitas – dan kami sendiri – dan ekspektasi keamanan.”

Selain melanjutkan permintaan dukungan lapangan, Zoom juga mengubah klien iOS-nya untuk menghapus Kit Pengembangan Perangkat Lunak (SDK) Facebook dan memperbarui kebijakan privasinya. Ini juga menghapus fitur pelacakan perhatian aplikasi, yang memungkinkan host melihat apakah jendela Zoom fokus selama sesi obrolan. – Rappler.com