ZOOM曝出大BUG 可获得系统源访问权 官方紧急修复

近日，曝出疫情期间大火的大B得系视频会议软件ZOOM更新修复了一个BUG，该BUG可能会让恶意程序提升自身的可获安装能力，进而提高权限并控制系统。统源

ZOOM

这个BUG是访问方紧复由非营利Mac OS安全组织Objective-See基金会（Objective-See Foundation）的创始人Patrick Wardle首先发现的。Wardle在上周Def Con大会上介绍了ZOOM在安装或卸载时要求用户输入密码，权官而后在启用了默认的急修自动更新功能后，就不需要输入密码了。曝出Wardle通过这一点发现ZOOM的大B得系更新程序会root机器。

虽然这本身非常安全，可获因为只有通过官方签名的统源ZOOM客户端，可以提取root权限。访问方紧复可问题是权官，在自动安装程序对软件包的急修验证和实际安装过程之间有一个时间点，允许攻击者在更新中注入恶意代码。曝出这意味着一些“有心人”在这期间可以用恶意代码获得对目标计算机的控制。

Wardle在演讲前向ZOOM透露了他的发现，BUG在一定程度上得到了解决，但在Wardle周六演讲时，一些问题依旧没能得到解决。不过，ZOOM在当天晚些时候发布了安全公告，随后很快发布了ZOOM 5.11.5版本（9788）的补丁以解决BUG。