La dernière version de Zoom pour macOS corrige une faille qui donnait l’accès root

Mathieu Fouquet |

Si vous utilisez Zoom sur Mac, mieux vaut mettre votre application à jour dès que possible : la version 5.11.5 de Zoom pour macOS corrige une importante faille de sécurité qui pouvait donner l’accès root à un utilisateur local mal intentionné, selon un bulletin de sécurité publié par Zoom. Découvert par le chercheur en sécurité Patrick Wardle, ce bug qui touche les versions 5.7.3 à 5.11.3 de l’application permettait de détourner le processus de mise à jour automatique de Zoom, comme l’a rapporté The Verge.

Image Zoom.

Un éventuel hackeur n’avait qu’à présenter un faux certificat de chiffrement à Zoom durant une mise à jour automatique (qui requiert l’accès root). Au lieu d’appliquer la mise à jour comme prévu, Zoom exécutait alors n’importe quel malware avec les permissions root. Patrick Wardle avait informé Zoom de cette faille de sécurité en décembre dernier, suite à quoi le service de vidéoconférence n’avait que partiellement comblé le trou. C’est désormais (espérons-le) chose faite.

Source
Image d’accroche Zoom
avatar R-APPLE-R | 

Patrick Wardle avait informé Zoom de cette faille de sécurité en décembre dernier …

Quelle plaie ce soft, je ne comprends pas ceux qui le télécharge sur Mac … au pire sur iPad c’est déjà un peu plus sécurisé.

avatar DahuLArthropode | 

@R-APPLE-R

La force cette famille de logiciels, c’est qu’on est souvent contraint par les autres, notamment ses clients. WebEx, zoom, Teams, Meet, Avaya… je suis obligé de les avoir tous! Sans compter les Klaxoon, Miro, iObeya... qui les accompagnent.

avatar vicento | 

@DahuLArthropode

Oui c’est une véritable plaie

avatar nicolier | 

@R-APPLE-R

Un usage c’est toujours une balance entre des risques et des avantages. Quand on lit le risque ici qui est corrigé par cette nouvelle version cela semble bien minime pour un utilisateur lambda.

Dans mon cas ceux qui se connectent à mes sessions zoom sont mes étudiants identifiés individuellement à chaque connexion.

Donc tu ne comprends peut être pas ceux qui installent Zoom, c’est peut être aussi un outil plutôt puissant et je ne trouve pas nécessairement la même qualité d’usage avec d’autres outils.

Et désolé la version iPad n’a pas le le tiers des fonctionnalités de la version Mac

avatar marc_os | 

@ R-APPLE-R

> Quelle plaie ce soft, je ne comprends pas ceux qui le télécharge sur Mac

Peut-être pour pallier à la plaie appelée Microsoft Teams qui fait tourner les ventilateurs d'un MacBook Air de quelques années en deux secondes et qui pédale dans la choucroute rien qu'avec trois participants.
Et ce n'set pas tout : Teams, cette app géniale basée sur Electron avec une interface quand on se connecte où plusieurs éléments semblent avoir le focus (affichés en violet). Chez moi, si je tape sur la touche Entrée, croyant que c'est la même chose que de cliquer sur le bouton connecter en violet, et bien non, la connexion n'est pas établie. C'est le bouton "mute" qui est activé (lui aussi affiché en violet).
Bref, interface de merde de Windows reproduite sur Mac.

avatar TotOOntHeMooN | 

Comment OSX peut permettre à un logiciel d'avoir un accès root sans l'aval de l'utilisateur ?

avatar R-APPLE-R | 

@TotOOntHeMooN

Utilisez deux sessions : une avec les accès root et une sans qui est votre session s’avère être une bonne idée 🤔

avatar BeePotato | 

@ R-APPLE-R : « Utilisez deux sessions : une avec les accès root et une sans qui est votre session s’avère être une bonne idée 🤔 »

Ça ne change rien dans le cas présent.

avatar R-APPLE-R | 

@BeePotato

J’ai de toute façon enlever les mises à jour automatique partout ou c’est possible 😏

avatar BeePotato | 

@ R-APPLE-R : « J’ai de toute façon enlever les mises à jour automatique partout ou c’est possible »

C’est une bonne précaution.
Pour ma part, en plus de ça, dans le cas de logiciels aussi notoirement mal fichus que Zoom je préfère faire une mise à jour en retéléchargeant l’application depuis le site de l’éditeur plutôt qu’en passant par le système de mise à jour intégré au logiciel. Ça évite les bugs de ce dernier (comme celui discuté ici).

Et au passage, pour Zoom, ça me donne l’occasion de vérifier avec Suspicious Package ce que fait le paquet d’installation, et d’en court-circuiter une partie pour n’installer que l’application elle-même et pas le service tournant en tâche de fond et qui ne me sert à rien.

avatar R-APPLE-R | 

@BeePotato

Sympa l’application mais faut savoir ou et quoi chercher 👀

avatar BeePotato | 

@ R-APPLE-R : « Sympa l’application mais faut savoir ou et quoi chercher 👀 »

En effet, ce n’est pas un outil pour tout le monde.

Mais la mise à jour via téléchargement manuel depuis le site de l’éditeur, ça, c’est une une approche à la portée de tous et déjà susceptible d’éviter quelques problèmes (comme le prouve cet article).

avatar Gwynpl@ine | 

@R-APPLE-R

D'une manière plus sécurisée, une virtualisation de Mac OS ou Linux pour utiliser Zoom ou autres. Bien sûr sans ouvrir de pont entre l'OS et la virtualisation.

Root c'est l'utilisateur racine, donc celui qui contrôle tout.

avatar BeePotato | 

@ TotOOntHeMooN : « Comment OSX peut permettre à un logiciel d'avoir un accès root sans l'aval de l'utilisateur ? »

L’article ne dit pas que ça le fait sans l’aval de l’utilisateur.
Il est fort probable que ça exploite juste ce moment où, pour faire une mise à jour, l’utilisateur saisit un identifiant + mdp de passe administrateur pour donner au processus les droits nécessaires.

avatar r e m y | 

Ce n'est pas sans l'aval de l'utilisateur ! C'est l'utilisateur qui donne l'autorisation de mise à jour.

avatar Romuald | 

D'un autre côté si je comprends l'aricle, si on désactive la MàJ automatique, on est à l'abri, non ? ou bien le risque est présent lors d'une MàJ manuelle ?

avatar PtitXav | 

Si on veut éviter le risque il ne faut pas installer de mise à jour si on n’est pas absolument sur de l’origine de celle ci, même en manuel.

avatar r e m y | 

Dans le cas présent, vous pouvez être sûr de bien télécharger la mise à jour officielle venant du site de Zoom, ça ne change rien. Le malware (potentiel... car il n'a pas été démontré qu'un malware ait utilisé cette faille) profite de l'installation de cette mise à jour tout à fait officielle pour s'y substituer en profitant de l'accès root dont dispose cette mise à jour pour s'installer.

avatar Lemmings | 

Je déteste zoom, l'interface est ignoble, c'est lent, ça utilise énormément de ressources. Sincèrement je ne comprends pas ces logiciels qui ont besoin d'applications dédiées alors qu'on peut parfaitement faire pareil sur le web. Google meet ou jitsi font tout aussi bien 😅

avatar r e m y | 

Zoom propose aussi une version web, si tu ne veux pas installer l'app dédiée.
https://support.zoom.us/hc/fr/articles/214629443-Prise-en-main-de-Zoom-Web-Client

mais ce n'est pas parce que c'est sur le web que ce n'est pas lent et que ça n'utilise pas énormément de ressources (surtout si vous utilisez un navigateur qui lui-même utilise énormément de ressources)

avatar pat3 | 

@Lemmings

Je ne vais pas défendre Zoom, mais après avoir testé plein de logiciels de visio open source pendant les deux confinements, ben y en a pas eu beaucoup pour tenir la route des qu’on dépasse les dix personnes et l’heure de visio. J’ai eu beau vouloir utiliser BigBlueButton, intégré à Moodle, la stabilité du service m’a vite rappelé à l’ordre…

avatar marc_os | 

@ Lemmings

Plus de ressources que MS Teams ?
Interface Electron à la Windows où on ne sait pas quel élément a le focus et qui oblige d'utiliser la souris, vu que l'effet de la touche Entrée n'est pas garanti comme dans Teams qui est inutilisable sur de "vieux" MBA ?

avatar bonnepoire | 

Utiliser des logiciels chinois en soi est déjà un problème de sécurité. Pire encore pour un logiciel de communication.
Je ne porte pas plus dans mon coeur webex et teams mais quand même...

Hors sujet: teams optimisé pour les puces M de Apple semble enfin correct.

avatar r e m y | 

Zoom Vidéo Communications Inc. est une société américaine basée à San Jose (Californie)

avatar marc_os | 

@ bonnepoire

> teams optimisé pour les puces M de Apple semble enfin correct

J'utilise Teams au travail avec un MBP Intel, ok, avec les limitations que j'ai décrites plus haut.
Quant à Teams pour M1...
Je l'ai installé chez moi, et quand mes amis me "convoquent" via un lien web que j'affiche dans safari, ça me propose trois options : Installer Teams - que j'ai déjà installé, Utiliser Teams, ou utiliser Safari.
Or si je choisis "utiliser Teams", rien ne se passe. Je n'ai aucun plugin, aucun filtre web, rien. Juste que rien ne se passe, même si j'ouvre Teams via le Finder au préalable. Obligé de passer par Safari.
Donc Teams ok sur M1, pour moi c'est une légende - car jamais vu.
(Au taf on est passé depuis à Google truc, donc pas de retour des collègues avec M1.)
Avec mes amis, la prochaine fois on utilisera Zoom, car en plus Teams sur MBA pas tout récent c'est la cata, alors que OK sur vieux tromblon sous Windows. Du Microsoft, quoi.

CONNEXION UTILISATEUR