Questo articolo è disponibile anche in versione podcast audio.
Se usate Zoom su un computer Apple, aggiornatelo. E se l’avete appena aggiornato, fatelo di nuovo. Lo so, la sicurezza informatica a volte sa essere esasperante. Al recente raduno di esperti di sicurezza informatica Def Con, uno di questi esperti, Patrick Wardle, ha dimostrato una falla del sistema di aggiornamento automatico di Zoom per macOS che avrebbe consentito a un aggressore di “elevare in modo banale i propri privilegi fino a diventare root”. In altre parole, fino a prendere pieno controllo del computer della vittima.
Il trucco era in effetti semplice: era possibile scavalcare la verifica di
autenticità degli aggiornamenti scaricati e quindi indurre lo scaricamento di
una versione vecchia e meno protetta di Zoom, oppure forzare l’installazione
di qualunque altra app ostile, dandole accesso completo al sistema
operativo.
La falla era sfruttabile soltanto localmente da un utente non privilegiato, per cui il rischio era concreto solo in alcuni scenari abbastanza particolari, come per esempio un Mac condiviso in ambiente scolastico o lavorativo, ma visto che fra i milioni di utenti di Zoom ci sono appunto molte scuole e aziende in tutto il mondo, la società informatica omonima che gestisce l’app Zoom ha aggiornato molto rapidamente il proprio prodotto per eliminare questa falla. La notizia della grave vulnerabilità si è diffusa rapidamente e così gli utenti diligenti si sono precipitati ad aggiornare Zoom alla versione 5.11.5.
Ma poi è arrivato un altro ricercatore di sicurezza, Csaba Fitzl, che si è accorto che l’aggiornamento correttivo diffuso da Zoom era a sua volta difettoso e che quindi era possibile aggirarlo e continuare a sfruttare la vulnerabilità scoperta dal collega. E così Zoom ha dovuto rilasciare un aggiornamento di sicurezza per correggere il proprio aggiornamento di sicurezza rilasciato appena quattro giorni prima (i bollettini di sicurezza di Zoom sono qui).
Se vi sentite disorientati e volete semplicemente usare Zoom in santa pace, il consiglio degli esperti è di scaricare manualmente la versione più recente di Zoom, che al momento in cui pubblico questo podcast è la 5.11.9, senza attendere che Zoom faccia i suoi consueti aggiornamenti automatici. Per farlo è sufficiente andare a Zoom.us/download e scegliere la versione per il proprio sistema operativo.
Come sempre, si consiglia di non cliccare su eventuali link di invito ad aggiornarsi ricevuti via mail o tramite messaggi e di digitare manualmente questo indirizzo per evitare truffe e attacchi informatici.
Fonti aggiuntive:
MemeBurn,
BitDefender.
Nessun commento:
Posta un commento