MacOS : Une faille critique dans Zoom découverte
Charles Gouin-Peyrot
Publié le 16 août 2022 · 3 min de lecture
Étant donné que le dispositif de mise à jour fonctionne avec les privilèges d'un super-utilisateur, Wardle a découvert qu'un attaquant pouvait exécuter n'importe quel programme par le biais de la fonction de mise à jour et obtenir ces privilèges. Et Zoom a laissé cette faille exister pendant des mois.
"Pour moi, c'était un peu problématique, car non seulement j'ai signalé les bogues à Zoom, mais j'ai également signalé les erreurs et la façon de corriger le code", a déclaré Wardle. "C'était donc vraiment frustrant d'attendre, quoi, six, sept, huit mois, en sachant que toutes les versions Mac de Zoom étaient assises sur les ordinateurs des utilisateurs, vulnérables."En tant qu'attaque par élévation de privilèges, la faille pourrait permettre aux attaquants d'obtenir les privilèges "root" ou "superutilisateur" sur MacOS. En théorie, cela pourrait leur permettre d'ajouter, de supprimer ou de modifier n'importe quel fichier sur la machine. Bien que Zoom ait publié un premier correctif quelques semaines avant l'événement, Wardle a déclaré que la mise à jour contenait un autre Bug qui aurait pu permettre aux attaquants de continuer à exploiter la faille. Il a rapidement divulgué le second bogue et a attendu huit mois avant de publier ses recherches. Quelques mois avant la conférence Defcon, en août, Wardle affirme que Zoom a publié un autre patch qui corrigeait les Bugs qu'il avait initialement découverts. Cependant, ce dernier patch contient encore des erreurs qui pourraient permettre aux attaquants d'exploiter la faille. Le deuxième bogue est actuellement toujours actif dans la dernière mise à jour de Zoom. Il est apparemment facile à corriger, et Wardle espère que le fait d'en parler publiquement à la Defcon incitera Zoom à publier rapidement un correctif.
L'auteur
Charles Gouin-Peyrot
Journaliste tech et testeur indépendant, je décrypte la tech grand public. Spécialisé dans le hardware, l'audio et la maison connectée, je mets ma rigueur technique et mon expérience de formateur au service de mes tests. Mon objectif est simple : dépasser les fiches techniques pour vous livrer des analyses transparentes, impartiales et ancrées dans un usage 100 % réel.