You are currently at: ejtech.hkej.com
Skip This Ads
Don't Miss
Home   >   市場消息   >   Zoom修補Mac版三大漏洞

Zoom修補Mac版三大漏洞

By on August 17, 2022

原文刊於信報財經新聞「StartupBeat創科鬥室

疫下不少企業推行居家工作,多數會透過視像軟件Zoom開會。美國科技新聞網站Wired引述,在今年剛結束的黑客大會DEF CON,有研究員發現Zoom存在3個程式漏洞。當蘋果公司Mac電腦自動更新時,黑客可藉此遙控作業系統。Zoom其後承認事件,並推出修復程式補救。

蘋果公司向來甚為關注用戶私隱,當用戶首次安裝Zoom軟件時,必須輸入密碼,同時程式啟用自動更新。曾在美國國家安全局工作的蘋果公司安全性研究員沃德爾(Patrick Wardle)發現,Zoom存在3個與自動更新有關的軟件安全漏洞。

以首兩個漏洞為例,黑客若把惡意套件(Package)改成特定名稱,即可繞過Zoom的數碼簽署檢查(Cryptographic Checks),安裝含有更多安全漏洞的舊版Zoom,以取得作業系統控制權。其後,Zoom即時推出更新程式修復問題。

用戶首次安裝Zoom軟件時,必須輸入密碼,並啟用自動更新功能。(Zoom網上圖片)

不過,沃德爾進一步在DEF CON,披露第三個漏洞,指當系統驗證官方新版Zoom套件後、未完成安裝期間,黑客仍可引入惡意軟件(Malicious Software),以低權限用戶(Low-privileged Users)身份,竊取自動更新程式的Root權限,藉此控制電腦,添加、刪除檔案或修改作業系統。

上周日(14日),Zoom再度更新程式,讓用戶立即堵塞漏洞。

1900個Signal電話號碼被外洩

此外,加密通訊軟件Signal近日亦被爆資料外洩。其合作夥伴、負責Signal電話驗證服務的美國雲端電訊公司Twilio Inc,日前遭網絡釣魚攻擊,導致約1900名Signal用戶電話號碼外洩。

Signal強調,系統不會儲存用戶的通話內容記錄、聯絡人資料等,所有資訊僅存放在用戶註冊的裝置上,重申今次受影響用戶僅佔少數。同時以短訊通知涉事用戶,取消其裝置的應用程式註冊紀錄,要求他們重新註冊,並建議啟動註冊鎖定( Registration Lock ),確保安全。

支持EJ Tech

如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們