Si vous êtes un utilisateur de Zoom avec un Mac, un correctif de sécurité critique est en cours de déploiement et vous devez l’installer immédiatement. La mise à jour de Zoom pour Mac corrige une faille de sécurité majeure qui aurait pu permettre à quiconque d’accéder à la racine de votre ordinateur.
Tel que rapporté par Ars Technica, la vulnérabilité a été découverte pour la première fois par le célèbre chercheur en sécurité Patrick Wardle. Wardle a détaillé la vulnérabilité à Def Con la semaine dernière, expliquant que la fonction de mise à jour automatique de Zoom ne demande pas de mot de passe utilisateur et est activée par défaut.
Cela indique que les acteurs malveillants pourraient contourner le vérificateur de vérification et rétrograder vers une ancienne version moins sécurisée de Zoom ou transmettre un package entièrement différent au programme de mise à jour. Le rapport explique :
Cela semblait sécurisé, car seuls les clients Zoom pouvaient se connecter au démon privilégié, et seuls les packages signés par Zoom pouvaient être extraits. Le problème est qu’en passant simplement au vérificateur de vérification le nom du paquet qu’il recherchait («
Zoom Vidéo ... Certification Authority Apple Root CA.pkg« ), cette vérification pourrait être contournée. Cela signifiait que des acteurs malveillants pouvaient forcer Zoom à rétrograder vers une version plus boguée et moins sécurisée ou même lui transmettre un package entièrement différent qui pourrait leur donner un accès root au système.
Zoom a publié un bulletin de sécurité après que Wardle ait détaillé la vulnérabilité. La société a déclaré que la vulnérabilité du processus de mise à jour automatique pourrait permettre à un « utilisateur local à faibles privilèges » de « faire passer ses privilèges à root ». Les versions concernées de Zoom sont les suivantes :
- Client Zoom pour réunions pour macOS (Standard et pour administrateur informatique) à partir de la version 5.7.3 et avant la version 5.11.5
Zoom a ensuite rapidement déployé une mise à jour de son application Mac pour corriger la vulnérabilité. Vous pouvez mettre à jour votre application Zoom sur votre Mac vers la version 5.11.5 (9788) pour vous protéger.
Ce n’est que le dernier exemple des pratiques de sécurité souvent médiocres de Zoom. La société a été contrainte de corriger une vulnérabilité majeure en 2019 qui permettait aux sites Web de détourner les webcams de votre Mac. Il a déployé une mise à jour plus tôt cette année pour empêcher le microphone de votre Mac de rester actif même après avoir quitté un appel. Et bien sûr, il a menti sur l’offre de cryptage de bout en bout pendant des années.
Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :
