Videokonferenz-Apps wie Zoom sind spätestens seit Beginn der COVID-19-Pandemie aus unserem Alltag nicht mehr wegzudenken. Blöd nur, wenn sie eine Sicherheitslücke aufweisen, die auch nach acht Monaten noch immer nicht gestopft wurde. Genau das ist bei Zoom der Fall. Acht Monate nach der Meldung an den Anbieter im Dezember 2021 hat ein Forscher die Lücke nun veröffentlicht, weil sie noch immer nicht behoben wurde.
Zoom Sicherheitslücke noch immer offen
Zoom gehört für uns zu den besten Videokonferenz-Apps und ist aus dem Alltag nicht mehr wegzudenken. Allerdings klafft mindestens seit Dezember 2021 eine gewaltige Zoom Sicherheitslücke in dem Programm.
Genauer gesagt sind es sogar mehrere Sicherheitslücken, die der Sicherheitsforscher Patrick Wardle nun auf der Hackerkonferenz Def Con publik gemacht hat. Eine Zero Day-Lücke unter MacOS wurde noch immer nicht behoben, wie Wardle dem Bericht von The Verge zufolge ausführt. Andere Probleme seien mittlerweile allerdings behoben worden.
Zoom reagiert: Immerhin hat Zoom gestern, als folge auf die Berichterstattung, seine Mac-App endlich aktualisiert. Die neue App mit Version 5.11.5 solltest du also unbedingt herunterladen, da diese – laut Angabe des Herstellers – genau diese Sicherheitslücke nun endlich schließt.
Updater mit Sicherheitslücke
Die Sicherheitslücke betrifft den Installer des Programms, der besondere Nutzer-Freigaben benötigt, um Zoom installieren oder entfernen zu können. Bei der initialen Installation benötigt Zoom das Passwort des Nutzers bzw. der Nutzerin, allerdings wird dieses bei der automatischen Update-Funktion nicht mehr abgefragt, die stetig im Hintergrund läuft. Und Supernutzer-Rechte anfordert.
Der Updater prüfe zwar, ob eine heruntergeladene Datei kryptografisch signiert sei, dies ließe sich aber einfach durch einen Bug austricksen. Jegliche Datei mit derselben Signatur des Zertifikates ließe sich verwenden, um das Programm hinters Licht zu führen.
Somit können Angreifer die Überprüfung einfach aushebeln und problemlos Schadsoftware mit Administratorrechten ausführen. Das geht allerdings nur, wenn die Angreifenden bereits anderweitig Zugriff auf das System erlangt haben. Doch dann haben sie freien Zugriff auf das betroffene System.
Sicherheitslücke war acht Monate lang offen
Wardle habe laut eigener Aussage die Sicherheitslücke bereits im Dezember 2021 an die Zoom Video Communications, Inc. gemeldet, die auch prompt reagiert hätten. Allerdings führte der Fix zu einem weiteren Bug, mit dem sich die angesprochene Sicherheitslücke problemlos weiter ausführen ließ.
„Für mich war das irgendwie problematisch, weil ich nicht nur die Bugs an Zoom übermittelt habe, sondern auch die Fehler aufzeigte und verraten habe, wie man den Code reparieren kann,“ so Wardle im Gespräch mit The Verge.
Nun habe er sich, nach acht frustrierenden Monaten des Wartens, dazu entschieden, die Zoom Sicherheitslücke öffentlich zu machen. Und diesmal hat der Anbieter das Problem offenbar tatsächlich in den Griff bekommen.
Nachdem man erst vor Kurzem, wenige Wochen vor der Def Con, einen weiteren Patch veröffentlicht hatte, der den ursprünglichen Fehler beheben konnte, die Sicherheitslücke aber noch immer nicht schloss. Aber nun scheint Zoom die Sicherheitslücke der App für macOS nun endlich in den Griff bekommen zu haben. Oder etwa doch nicht?
No replies yet
Neue Antworten laden...
Gehört zum Inventar
Beteilige dich an der Diskussion in der Basic Tutorials Community →