i usas Zoom en un Mac, es hora de una actualización manual. La última actualización del software de videoconferencia corrige una vulnerabilidad de actualización automática que podría haber permitido a programas maliciosos utilizar sus poderes de instalación elevados, otorgando privilegios escalados y el control del sistema.

La vulnerabilidad fue descubierta por primera vez por Patrick Wardle, fundador de la Fundación Objective-See, un grupo de seguridad de Mac OS sin ánimo de lucro. 

Wardle detalló en una charla en Def Con la semana pasada cómo el instalador de Zoom pide una contraseña de usuario al instalar o desinstalar, pero su función de actualización automática, activada por defecto, no la necesita. Wardle descubrió que el actualizador de Zoom es propiedad del usuario administrador  y se ejecuta como tal.

Parecía seguro, ya que sólo los clientes de Zoom podían conectarse al demonio privilegiado, y sólo los paquetes firmados por Zoom podían ser extraídos. El problema es que con sólo pasarle al verificador de verificación el nombre del paquete que estaba buscando (“Zoom Video … Certification Authority Apple Root CA.pkg”), se podía eludir esta verificación. Eso significaba que los actores maliciosos podían forzar a Zoom a bajar de categoría a una versión más defectuosa y menos segura, o incluso pasarle un paquete completamente diferente que pudiera darles acceso de raíz al sistema.

Wardle reveló sus descubrimientos a Zoom antes de su charla, y algunos aspectos de la vulnerabilidad fueron abordados, pero el acceso clave a la raíz todavía estaba disponible a partir de la charla de Wardle el sábado. 

Zoom emitió un boletín de seguridad más tarde ese mismo día, y un parche para la versión Zoom 5.11.5 (9788) siguió poco después. 

Puedes descargar la actualización directamente desde Zoom o hacer clic en las opciones de su barra de menús para “Buscar actualizaciones”. No sugeriríamos esperar a una actualización automática, por múltiples razones. (Actualización: se ha aclarado la revelación de Wardle y el momento de la actualización).

El historial de seguridad del software de Zoom es irregular y, a veces, francamente aterrador. La compañía llegó a un acuerdo con la FTC en 2020 después de admitir que mintió durante años sobre ofrecer cifrado de extremo a extremo. Wardle reveló anteriormente una vulnerabilidad de Zoom que permitía a los atacantes robar credenciales de Windows enviando una cadena de texto. Antes de eso, se descubrió que Zoom ejecutaba todo un servidor web no documentado en los Mac, lo que provocó que Apple emitiera su propia actualización silenciosa para acabar con el servidor.

El pasado mes de mayo, una vulnerabilidad de Zoom que permitía la ejecución remota de código malicioso sin requerir la interacción de un usuario para regresar a una versión anterior de la aplicación y evadir la comprobación de firmas. Dan Goodin, de Ars, señaló que su cliente de Zoom no se actualizó cuando llegó la corrección de ese problema, sino que fue necesario descargar manualmente una versión intermedia. Los hackers pueden aprovecharse rápidamente de las vulnerabilidades expuestas de Zoom, señaló Goodin, si los usuarios de Zoom no se actualizan de inmediato. Sin el acceso a la raíz, por supuesto.

Con información de Flipboard