newsroom 8/14 '22 posted
쉬워요. 하지만 맥의 오랜 보안 연구원인 패트릭 워들 씨는 이 기능이 너무 쉬운 게 아닌지 궁금해 했습니다. 오늘 라스베이거스에서 열린 DefCon 보안 콘퍼런스에서 Wardle은 자동 업데이트 기능의 업데이트 유효성 검사에서 발견한 두 가지 취약점을 제시했습니다. "20년 이상 된 기술을 기반으로 어떤 것이 구축되면 보안 연구의 좋은 대상이 될 수 있습니다. "스탠자 밀수. Fratric이 발견한 것은 스탠자라고 불리는 XMPP 코드 덩어리를 다른 XMPP 스탠자 안에 내장할 수 있다는 것이었습니다.

• 보안 연구원이 zoom macOS에서 공격자가 루트 액세스 권한을 얻고 전체 운영 체제를 제어할 수 있는 결함을 발견했으며 이 문제는 아직 완전히 수정되지 않았습니다.
• 이 공격은 Mac에서 Zoom을 설치하거나 제거하려면 특별한 사용자 권한이 필요한 macOS용 Zoom 설치 관리자를 활용하여 수행됩니다.
• 보다 구체적으로 Wardle은 설치 프로그램이 높은 권한으로 백그라운드에서 계속 실행되는 자동 업데이트 기능을 가지고 있다는 것을 발견했습니다.
• 업데이트 프로그램이 슈퍼 사용자 권한으로 실행되기 때문에 Wardle은 공격자가 업데이트 기능을 통해 모든 프로그램을 실행할 수 있으며 이러한 권한을 얻을 수 있음을 발견했습니다.
• "그래서 모든 Mac 버전의 Zoom이 사용자의 컴퓨터에 취약하다는 것을 알고 6개월, 7개월, 8개월을 기다린다는 것은 정말 좌절스러운 일이었습니다."
• 비록 줌이 사건 몇 주 전에 초기 패치를 발표했지만, 워들은 이 업데이트에 공격자가 이 결함을 계속 이용할 수 있는 또 다른 버그가 포함되어 있다고 말했습니다.





Login to comment

Open Wiki - Feel free to edit it. -
8/14 '22 answered



permanent link

Login to comment

Open Wiki - Feel free to edit it. -
8/14 '22 answered



permanent link

Login to comment