Il trucco era in effetti semplice: era possibile scavalcare la verifica di autenticità degli aggiornamenti scaricati e quindi indurre lo scaricamento di una versione vecchia e meno protetta di Zoom oppure forzare l’installazione di qualunque altra app ostile, dandole accesso completo al sistema operativo.
La falla era sfruttabile soltanto localmente da un utente non privilegiato, per cui il rischio era concreto solo in alcuni scenari abbastanza particolari, come per esempio un Mac condiviso in ambiente scolastico o lavorativo, ma visto che fra i suoi milioni di clienti ci sono appunto molte scuole e aziende, la società informatica omonima che gestisce l’app Zoom ha aggiornato molto rapidamente il proprio prodotto per eliminare la falla. La notizia della grave vulnerabilità si è diffusa rapidamente e così gli utenti diligenti si sono precipitati ad aggiornare Zoom alla versione 5.11.5.
Ma poi è arrivato un altro ricercatore di sicurezza, Csaba Fitzl, che si è accorto che l’aggiornamento correttivo diffuso da Zoom era a sua volta difettoso e che quindi era possibile aggirarlo e continuare a sfruttare la vulnerabilità scoperta dal collega. E così Zoom ha dovuto rilasciare un aggiornamento di sicurezza per correggere il proprio aggiornamento di sicurezza rilasciato appena quattro giorni prima (i bollettini di sicurezza di Zoom sono qui).
Se vi sentite disorientati e volete semplicemente usare Zoom in santa pace, il consiglio degli esperti è di scaricare manualmente la versione più recente di Zoom, che al momento in cui pubblico questo podcast è la 5.11.9, senza attendere che Zoom faccia i suoi consueti aggiornamenti automatici. Per farlo è sufficiente andare a Zoom.us/download e scegliere la versione per il proprio sistema operativo. Come sempre, si consiglia di non cliccare su eventuali link di invito ad aggiornarsi ricevuti via mail o tramite messaggi e di digitare manualmente questo indirizzo.
Fonti aggiuntive: MemeBurn, BitDefender.
Commenti
Posta un commento