利用macOS端Zoom安装器漏洞 黑客可以接管你的Mac
虽然 Zoom 已经修复了演示中的部分 BUG,但是沃德尔还演示了一个尚未修复、依然可以影响 macOS 系统的漏洞。该漏洞通过 Zoom 应用的安装器进行入侵,虽然在首次添加到 macOS 的时候需要用户输入系统密码,不过沃德尔表示可以通过超级用户权限在后台执行自动升级功能。
在 Zoom 发布修复更新之后,在安装新的安装包的时候都需要审查是否经过 Zoom 加密签署。不过这种审查方式依然存在缺陷,任意文件只需要修改为和 Zoom 签署认证相同的文件名称就可以通过测试,因此攻击者可以伪装任意恶意程序,并通过提权来掌控系统、
其结果是一种权限提升攻击方式,需要攻击者已经获得了对目标系统的初始访问权限,然后利用漏洞来获得更高级别的访问权限。 在这种情况下,攻击者从受限用户帐户开始,但升级为最强大的用户类型——称为“superuser”或“root”——允许他们添加、删除或修改机器上的任何文件。
沃德尔在去年 12 月向 Zoom 报告了这个问题。虽然 Zoom 随后发布了一个修复补丁,但是令他沮丧的这个修复补丁包含另一个错误,这意味着该漏洞仍然可以以稍微更迂回的方式利用,因此他向 Zoom 披露了第二个错误,并等待了八个月才发布研究。
沃德尔表示:“对我来说,我不仅向 Zoom 报告了错误,还报告了错误以及如何修复代码,所以等了六、七、八个月,知道所有 Mac 版本的 Zoom 都在用户的计算机上仍然易受攻击,真是令人沮丧”。
美国芯片巨头英特尔与中方合作!将在深圳新建芯片创新中心
工信部要求开展 App 备案,微信小程序完成备案后才可上架
家乐福被裁员工曝未拿到补偿金,此前通知补偿金打6折一次性发和全款分12期之间二选一
全球勒索软件攻击创历史新高,美国是全球勒索软件攻击首要目标
美交管局对特斯拉部分车型展开调查,特斯拉部分车型被曝转向失灵
相关标签
相关文章
王慧文病休53天,旗下OneFlow团队重新创业
10月以前 | 1次阅读
智己CEO现场怒怼!不满LS6和小鹏G6当对手
10月以前 | 1次阅读
董明珠回应落榜世界500强:总比爆雷的世界500强好
10月以前 | 1次阅读
阿里云上线 AI 视频生成工具 Live Portait:可一键让照片开口说话
10月以前 | 78次阅读
妙鸭相机将并入神力视界,阿里大文娱CTO郑勇:不是“搬家”是“回家”
10月以前 | 85次阅读
特斯拉上海超级工厂约40秒下线一台车,零部件本土化率超95%
10月以前 | 69次阅读
宁德时代发布神行超充电池,可实现充电10分钟行驶800里
10月以前 | 71次阅读
中科院博士被骗到缅甸已一年!女友:他负债几万,家里条件一般,以为去当翻译
10月以前 | 85次阅读
小鹏汽车否认收购玛莎拉蒂传闻:系谣言
10月以前 | 63次阅读
联想二季度净利润猛降66%,股价应声跳水
10月以前 | 80次阅读
业内人士:视觉中国对不同侵权主体采用差异化策略,老客由销售沟通新客发律师函
10月以前 | 70次阅读
恒大集团在美国申请破产保护
10月以前 | 56次阅读
劳斯莱斯首款纯电轿跑将在北美亮相
10月以前 | 89次阅读
realme印度前CEO确认加盟荣耀,即将推出手机新品
10月以前 | 88次阅读
OpenAI正在测试内容审核系统,一天可以完成六个月的工作
10月以前 | 80次阅读
谷歌百人“复仇者联盟”出击,将发对标GPT-4的大模型,26位研发主管名单流出
10月以前 | 77次阅读
OpenAI收购数字产品公司Global Illumination,为创立以来首笔公开收购
10月以前 | 80次阅读
海口规定:电动汽车充电服务费不得超过0.65元每度
10月以前 | 80次阅读
波音任命柳青为波音中国总裁
10月以前 | 88次阅读
业内人士谈图片复杂代理链:图片代理商越多摄影师分成越少
10月以前 | 67次阅读