macOS 版 Zoom 漏洞8个月没修复，安装过程中已可被黑客控制你电脑

码农 • 2023年9月23日 19:21 • 游戏攻略

最新消息，macOS 存在漏洞已变得不稳定，用户私隐安全已成问题。近日，一名安全专家表示自己发现可以通过利用 macOS 版 Zoom 应用程序，掌控整个系统权限的攻击方式。上周五位于拉斯维加斯所召开的 Def Con 黑客大会上，来自 Mac 安全专家 Patrick· Wardle在演讲中就对此漏洞进行了详细介绍。

在现场，专家虽然对 Zoom 进行了修复，但也仅修复了演示中的部分 BUG，同时 Wardle 还演示了一个尚未修复、依然可以影响 macOS 系统的漏洞。他表示该漏洞会通过 Zoom 程序的安装器进行入侵，尽管苹果在安全问题上做到很严密，但也就是在首次添加到 macOS 的时候需要用户输入系统密码，而 Wardle 表示可以还通过超级用户权限在后台执行自动升级功能。

此外，在Zoom发布最新一期的修复更新之后，虽然安装新的安装包的时候都需要审查是否经过Zoom加密签署。不过，随着调查发现这种审查方式依然存在缺陷，因为只要任意文件仅需修改为和Zoom签署认证相同的文件名称就可以通过测试，这也就意味着攻击者可以伪装任意恶意程序，并通过提权来掌控系统。

这种漏洞是一种权限提升攻击方式，同时也需要攻击者已经获得了对目标系统的初始访问权限才可以进行下一步，该专家称只要获得权限就可以利用漏洞来获得更高级别的访问权限。在这种情况下，攻击者从受限用户账户开始，但升级为最强大的用户类型——称为superuser或root——允许他们添加、删除或修改机器上的任何文件。

曾在去年12月份 Wardle 就已经向 Zoom 报告了这个问题。在当时Zoom虽然在后续中发布了一个修复补丁，但这个修复补丁同样存在另外一个错误，这种结果导致该漏洞依旧可以以稍微更迂回的方式利用，因此他向Zoom披露了第二个错误，并等待了八个月才发布研究。

而有些人问为什么不发现问题第一时间公布时，Wardle则表示：「对我来说，我不仅向 Zoom 报告了错误，还报告了错误以及如何修复代码，也就是说这么长时间以来，我都在致力于如何修复该漏洞，所以等了六、七、八个月，但目前来看，所有 Mac 版本的 Zoom 都在用户的电脑上仍然易受攻击，真是令人沮丧」的消息。