Mac Life Plus
Root-Zugriff möglich

Riesen-Sicherheitslücke im Videokonferenz-Tool Zoom

Zoom hat ein wichtigstes Update für die macOS-App veröffentlicht. Ein Sicherheitsforscher hatte zuvor eine Schwachstelle aufgedeckt, die Root-Zugriff ermöglicht.

Von   Uhr
(Bild: CC0)

Das Sicherheitsproblem kam im Rahmen der diesjährigen Sicherheitskonferenz Defcon in Las Vegas ans Licht. Dabei hatte Patrick Wardle einen Exploit gezeigt, der es einem Angreifer am Mac ermöglichen könnte, erhöhte Rechte zu erlangen und somit das System zu kompromittieren.

Jetzt kostenfrei ausprobieren: Mac Life+

Mehr Apple-Wissen für dich.

Mac Life+ ist die digitale Abo-Flatrate mit exklusiven, unabhängigen Tests, Tipps und Ratgebern für alle Apple-Anwenderinnen und Anwender - ganz egal ob neu mit dabei oder Profi!

Mac Life+ beinhaltet

  • Zugriff auf alle Online-Inhalte von Mac Life+
  • alle digitalen Ausgaben der Mac Life, unserer Sonderhefte und Fachbücher im Zugriff
  • exklusive Tests, Artikel und Hintergründe vorab lesen
  • maclife.de ohne Werbebanner lesen
  • Satte Rabatte: Mac, iPhone und iPad sowie Zubehör bis zu 15 Prozent günstiger kaufen!

✔ SOFORT gratis und ohne Risiko testen: Der erste Monat ist kostenlos, danach nur 4,99 Euro/Monat.
✔ Im Jahresabo noch günstiger! Wenn du direkt für ein ganzes Jahr abonnierst, bezahlst du sogar nur 2,99 Euro pro Monat.

Zoom hat lange nicht reagiert

Zoom hat daraufhin schnell einen Patch für seine Mac-App veröffentlicht, um die Schwachstelle zu beheben. Es war dabei nicht der erste Versuch des Videokonferenz-Entwicklers, die Sicherheitslücke zu schließen. Bevor Wardle den Exploit bei der Defcon zeigte, hatte er sich bereits im Dezember vergangenen Jahres das erste Mal an Zoom gewendet, um die Lücke zu melden.

Nachdem es dem Unternehmen über Monate nicht gelungen war, die Schwachstelle zu schließen, zeigte Wardle den möglichen Angriff jetzt der Öffentlichkeit. Der Fehler steckte übrigens in der automatischen Aktualisierungsfunktion der Anwendung. Das Risiko wurde als „hoch“ eingestuft. Details werden unter CVE-2022-28756 veröffentlicht.

Von der Redaktion empfohlener Inhalt

An dieser Stelle findest du einen externen Inhalt von Twitter, der den Artikel ergänzt. Du kannst ihn dir mit einem Klick anzeigen lassen und wieder ausblenden.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an dritte übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Der Auto-Updater arbeitet laut den Erkenntnissen des Sicherheits-Experten nach der Ausführung des Installationsprogramms weiterhin mit Superuser-Rechten. Das war der erste Angriffspunkt. Der Zweite steckte ebenfalls im Updater. Man kann dabei die Schwachstelle ausnutzen, indem man eine manipulierte Datei einschleust. Der Updater arbeitete dabei mit jeder Datei, die den gleichen Namen wie das Zertifikat von Zoom trug. Damit wurde möglichen Hackern Tür und Tor geöffnet. 

Mit dem jüngsten Update des Zoom-Clients für macOS auf Version 5.11.5 sind die Probleme behoben. Das Update sollte daher schnellstmöglich installiert werden. Die Schwachstelle ist so weit das bekannt ist in allen neueren Versionen von 5.7.3 bis 5.11.3 vorhanden.

Produkthinweis

Echo Dot (4. Generation) | Smarter Lautsprecher mit Alexa | Anthrazit

nicht verfügbar

Mehr zu diesen Themen:

Diskutiere mit!

Hier kannst du den Artikel "Riesen-Sicherheitslücke im Videokonferenz-Tool Zoom" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Die Kommentare für diesen Artikel sind geschlossen.