Zoom : patch correctif déployé en arrière-plan par Apple pour les systèmes macOS ! (cette fois-ci, c'est la bonne)

Le 8 Juillet dernier, Jonathan Leitschuh alertait les utilisateurs sous macOS à propos d'une vulnérabilité résidant sous Zoom, un logiciel permettant de faire des appels vidéos ou des visio-conférences. La faille permettait, entre-autres, d'allumer la Webcam à l'insu de l'utilisateur ce qui permettait de filmer ce dernier en toute impunité. Si le 9 Juillet, Zoom communiquait en confirmant le déploiement d'un patch correctif, il semble que la rustine n'ait pas été assez efficace au goût d'Apple qui a décidé, hier, de fournir un autre patch correctif et probablement, donc, plus efficace que celui fournit par l'éditeur du logiciel...

 

 

Pour rappel, la vulnérabilité de type 0-day impactait pas moins de 4 millions de terminaux sous macOS ayant installé l'application. Deux failles ont été assignées : une relative à une attaque DOS (CVE-2019-13449) et une autre relative à l'indiscrétion potentielle de la Webcam ainsi détournée (CVE-2019-13450).

L'installation de Zoom créait un dossiers dans le système qui recelait, de ce fait, un serveur local (même si l'application était désinstallée entre-temps : le serveur résidait !) qui ouvrait un lien vers zoom depuis le navigateur Web... Une mise en lumière sécuritaire qui a été relaté dès le 8 Mars dernier (via un Tweet resté sans réponse de la part de l'éditeur...) mais officiellement révélé par mail le 26 Mars suivant où Zoom n'a eu d'autres choix que de répondre puisque faille 0-day oblige, un embargo de 90 jours s'applique : au-delà et sans réponses la faille était dans la nature sans réelles solutions.

Mais hier, la firme de Cupertino a voulu jouer la sûreté en appliquant un patch correctif qui s'est installé en douceur sur l'ensemble des systèmes macOS. De son côté, Zoom s'est dit "heureux d'avoir travaillé avec Apple", selon les propos rapportés par TechCrunch.com, au 11 Juillet... A veiller !

 

Source : Jonathan Leitschuh - 8 Juillet 2019 - Vulnérabilité Zoom sous macOS : faille 0-day (attaque DOS, installation d'un serveur local et intrusion Webcam).