Menu
Begeek.fr
Obtenir l’application
Navigation : 
  • Tech
    • Apple
    • Google
    • Android
    • Facebook
  • Pop Culture
    • Netflix
  • Jeux Vidéo
    • PS5
    • Xbox Series X
    • Play To Earn
  • Fintech
    • Crypto-monnaies
    • Les meilleures cartes bancaire Bitcoin
    • Les meilleurs wallet crypto
    • Créer son RIG de minage
    • Cloud mining et stacking
En ce moment : 
  • Crypto : guide du débutant
  • Sorare : le guide
  • Meilleures exchanges Crypto

Zoom : un chercheur en sécurité découvre plusieurs failles dans le processus de mise à jour automatique

Tech > Données personnelles > Zoom
Par Morgan Fromentin,  publié le 15 août 2022 à 14h00.

Plusieurs failles de sécurité découverte dans Zoom. Via le processus de mise à jour automatique, des hackers peuvent récupérer le contrôle de la machine de la victime.

L’option de mise à jour automatique de Zoom aide les utilisateurs à s’assurer qu’ils disposent toujours de la dernière version en date du logiciel de vidéoconférence, lequel a souffert d’un certain nombre de soucis de confidentialité et de sécurité ces dernières années. Un spécialiste de la sécurité sur Mac a découvert plusieurs failles dans l’outil de mise à jour automatique qui aurait permis à des personnes malintentionnées d’obtenir le contrôle total de la machine de leur victime.

Plusieurs failles de sécurité découverte dans Zoom

Patrick Wardle a présenté ses découvertes durant la conférence DefCon de cette année. Selon Wired, deux d’entre elles ont été dévoilées. La première a été trouvée dans le processus de vérification de la signature de l’app, qui permet de s’assurer de l’intégrité de la mise à jour à installer pour s’assurer que cette dernière est totalement légitime. Cela permet d’éviter qu’un attaquant vienne faire croire à l’installeur qu’il peut installer n’importe quoi.

Via le processus de mise à jour automatique

Patrick Wardle a découvert que des hackers pouvaient contourner la vérification de signature en nommant d’une certaine manière leurs fichiers. Une fois à l’intérieur, ils peuvent obtenir l’accès root et contrôler la machine de leur victime. The Verge explique que le chercheur a communiqué l’existence de cette faille à Zoom en décembre 2021, mais le correctif contenait une autre faille. La seconde vulnérabilité aurait pu donner aux hackers un moyen de contourner le garde-fou mis en place par Zoom pour s’assurer que le processus de mise à jour vient bien installer la dernière version en date de l’app. Patrick Wardle a découvert qu’il était possible de duper un outil facilitant la distribution de la mise à jour de Zoom pour lui faire accepter une version plus ancienne du logiciel.

des hackers peuvent récupérer le contrôle de la machine de la victime

Zoom a déjà corrigé cette faille aussi, mais l’expert a trouvé une autre vulnérabilité, présentée, elle aussi, durant la conférence. À un moment donné, entre la vérification du package par l’auto-installeur et le processus d’installation en lui-même, il est possible d’injecter du code malveillant dans la mise à jour. Un package téléchargé qui doit être installé peut apparemment retenir ses permissions de lecture/écriture originales, permettant à quiconque de les modifier. Cela signifie que même des utilisateurs sans accès root peuvent échanger le contenu avec du code malveillant et prendre le contrôle de la machine cible.

L’entreprise a déclaré à The Verge qu’elle travaillait sur un correctif pour cette nouvelle vulnérabilité mise au jour par l’expert. Comme Wired le précise, les attaquants doivent déjà disposer d’un accès à la machine de l’utilisateur pour pouvoir exploiter ces failles. Même s’il n’y a pas de danger immédiat pour la majorité des utilisateurs, Zoom recommande de toujours “rester à jour avec la dernière version en date” de l’app. Cela permet notamment de profiter du chiffrement de bout en bout.

Le Récap
  • Plusieurs failles de sécurité découverte dans Zoom
  • Via le processus de mise à jour automatique
  • des hackers peuvent récupérer le contrôle de la machine de la victime
En savoir plus
  • L’Union Européenne s’engage à être plus sévère face aux violations de vie privée de la Big Tech
  • Comment toujours trouver du Wi-Fi gratuit
  • Uber Eats affiche désormais aux utilisateurs les données personnelles que les livreurs peuvent voir
Vous aimez nos contenus ?
Recevez chaque jour nos dernières publications gratuitement et directement dans votre boite mail
Recevoir la newsletter
  • Infos Légales
  • Contact
  • À propos
  • Données personnelles
  • Archives
  • Musique en ligne
© 2023 - Tous droits réservés sur les contenus du site Begeek.fr  - ADN Contents -