安全研究員發現 Zoom 連續三個漏洞，可讓駭客控制你的 Mac 電腦

自動更新功能可以讓使用者無需煩心，應用程式能自動獲得最新、最有效的保護和功能，然而視訊會議工具 Zoom 卻被發現在此有漏洞，使得駭客能藉此控制你的 Mac 電腦。據 Wired 引述今年 DefCon 世界駭客大賽上，由 Mac 研究員 Patrick Wardle 發表的兩個漏洞研究顯示，Zoom 檢查簽署的功能未能阻擋駭客騙過程式，可以命令自動更新的下載器去下載更舊和存有漏洞的版本。而且這更簡單得只要把有問題檔案換個特定名字，就可以越過簽署檢查並安裝，駭客就能藉此獲得 root 存取，進而對目標的 Mac 進行控制。

有趣的是 The Verge 報導指 Wardle 早在 2021 年 12 年就向 Zoom 回報漏洞，官方也釋出了更新來修復，但這卻又帶來另一隻臭蟲。第二個漏洞是駭客能夠規避 Zoom 在檢查是否下載得最新版本的工具，同樣也是能使其安裝有問題版本。

好了，Zoom 再、再修復了漏洞之後，Wardle 又再發現另一個問題，而這也是最新一個在大會發表的。他發現到原來在自動更新工具的軟體封包檢查步驟和確實安裝之間，是有著時間差的，同時更新包還保留了原來的讀寫授權，讓任何人都可以修改，駭客不用獲得 root 權限也可以趁機「加料」，把有問題的代碼加進更新包之中。

Zoom 在回覆 The Verge 的查詢時，指他們已經努力修復有關漏洞。Wired 另外也指，現存的漏洞需要獲得已有的授權才能夠進行攻擊，所以風險相對較低。無論如何，自動更新功能還是建議使用的，大家就先不要被這次的連環出包嚇壞吧。