Die Zoom-App auf dem Mac enthielt bis vor kurzem eine schwerwiegende Sicherheitslücke, die das Update-Feature betraf. Davor hat der Videoconferencing-Spezialist am Samstag in einem Sicherheitsbulletin gewarnt. Es war demnach möglich, dass Prozesse ohne Admin-Privilegien mittels der von Zoom entwickelten Aktualisierungsroutine Root-Rechte erlangen und damit auf dem System nahezu alles anstellen konnten (CVE-2022-28756, CVSS 8.8, Risiko "hoch").
Fündig wurde Wardle in der Zoom-Update-Routine, die laut Angaben des Herstellers
Wardle hatte den Bug bereits im Dezember 2021 entdeckt. Zoom reagierte mit einem Fix, der das Problem aber nur zum Teil behob – er fand eine Möglichkeit, den Fix zu umgehen. Dann wartete er weitere acht Monate auf einen echten Fix. Wardle sagte gegenüber dem IT-Blog The Verge, das sei für ihn "etwas problematisch" gewesen. Er habe nicht nur die Fehler an Zoom gemeldet, sondern der Firma auch ihre Fehler bei der Implementierung des Fixes erläutert. Es sei "sehr frustrierend gewesen", bis zu acht Monate zu warten, während die Zoom-Versionen auf allen Macs angreifbar waren.
Der Fix soll nun dafür sorgen, dass die Root-Rechte nicht mehr so einfach erlangt werden können. Allerdings ist der Patch noch immer nicht perfekt: Laut Wardle könnte es auch nach der Veränderung
Quelle: heise
Demo-Exploit bereits vorhanden
Einen Exploit für das Problem hatte der bekannte macOS-SicherheitsspezialistDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
auf der
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
demonstriert. Ob der Bug auch in freier Wildbahn ausgenutzt wurde oder nur dieser Demo-Exploit existiert, blieb zunächst unklar. Laut Wardle ist das Problem eine
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Dabei versucht eine App, die mit normalen Rechten ausgeführt wird, über (auch fremde) Prozesse an Root-Rechte zu kommen.Fündig wurde Wardle in der Zoom-Update-Routine, die laut Angaben des Herstellers
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
war. Die aktuelle
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
sei hingegen gepatcht. Wardle, der mit Objective See eine eigene Non-Profit-Organisation betreibt, die sich
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
hat, erläutert, dass die Update-Routine von Zoom neue Pakete installierte, nachdem sie überprüft hat, dass darin eine kryptografische Signatur von Zoom vorliegt.Lange Zeit bis zum Fix
Allerdings sorgte der Bug dafür, dass die Überprüfung nicht korrekt erfolgte – es reichte, dass eine Datei lediglich das Zoom-Zertifikat mitgeliefert hat und den darin verwendeten Namen trug. Zoom führte anschließend jede beliebige Software mit Root-Privilegien aus. Die potenzielle Malware konnte daraufhin alles installieren und im System verändern, was als Superuser möglich ist.Wardle hatte den Bug bereits im Dezember 2021 entdeckt. Zoom reagierte mit einem Fix, der das Problem aber nur zum Teil behob – er fand eine Möglichkeit, den Fix zu umgehen. Dann wartete er weitere acht Monate auf einen echten Fix. Wardle sagte gegenüber dem IT-Blog The Verge, das sei für ihn "etwas problematisch" gewesen. Er habe nicht nur die Fehler an Zoom gemeldet, sondern der Firma auch ihre Fehler bei der Implementierung des Fixes erläutert. Es sei "sehr frustrierend gewesen", bis zu acht Monate zu warten, während die Zoom-Versionen auf allen Macs angreifbar waren.
Der Fix soll nun dafür sorgen, dass die Root-Rechte nicht mehr so einfach erlangt werden können. Allerdings ist der Patch noch immer nicht perfekt: Laut Wardle könnte es auch nach der Veränderung
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
kommen. Zoom arbeitet laut eigenen Angaben an dem Problem – wann der zweite Fix kommt, ist ungewiss. Zoom hatte 2019 bereits
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
eingriff.Quelle: heise
