Beveiligingsonderzoeker vindt kritieke kwetsbaarheden in Zoom voor macOS

Een beveiligingsonderzoeker heeft twee kwetsbaarheden ontdekt in de updatetool van videobelsoftware Zoom voor MacOS die het verkrijgen van rootrechten mogelijk maakte. Nadat het bedrijf de kwetsbaarheden had gepatcht, ontdekte de man een nieuwe kwetsbaarheid.

Beveiligingsonderzoeker Patrick Wardle deelde zijn bevindingen op het DefCon-hackerevent in Las Vegas. Daar legde hij uit hoe de signature check van de automatische updatetool van Zoom voor macOS omzeild kon worden. Via een eerste kwetsbaarheid, CVE-2022-28751, hoefden gebruikers enkel de bestandsnaam van een file aan te passen zodat die dezelfde waarden bevatte als het certificaat waar de updatetool naar op zoek was. "Je moet de software gewoon een bepaalde naam geven en je bent zo voorbij de cryptografische controle", stelde de man aan Wired.

Wardle had Zoom eind 2021 ingelicht over de kwetsbaarheid en de fix die het bedrijf toen had uitgebracht, bevatte volgens Wardle een nieuwe kwetsbaarheid. Hij kon de updater.app van Zoom voor macOS namelijk een oudere versie van de videobelsoftware laten accepteren waardoor die deze versie begon te distribueren in plaats van de meest recente versie. Kwaadwilligen kregen via kwetsbaarheid CVE2022-22781 plots de mogelijkheid om kwetsbaarheden in oudere Zoom-software uit te buiten. Kregen, want Zoom heeft de twee bovenstaande kwetsbaarheden inmiddels verholpen via een update.

Maar ook daarin vond Wardle een kwetsbaarheid, CVE-2022-28756. Volgens de man is het op dit moment mogelijk om na de verificatie van een softwarepakket door de Zoom-installer nog wijzigingen door te voeren in het pakket. Het softwarepakket behoudt zijn read-write-permissions in macOS en kan nog aangepast worden tussen de cryptografische controle en de installatie. Zoom reageerde ondertussen op de nieuwe onthullingen van Wardle. Het bedrijf zou naar eigen zeggen werken aan een oplossing.

Reacties (60)

brabbelaar 14 augustus 2022 09:57

Ik weet hier weinig van, maar moet je nu toegang hebben tot de mac om die bestanden aan te passen? Of kan dit van een afstandje? Voor de daadwerkelijke risico's van een gebruiker een groot verschil.

[Reactie gewijzigd door brabbelaar op 24 juli 2024 08:54]

obimk1 @brabbelaar • 15 augustus 2022 09:11

Patrick Wardle voormalige NSA medewerker, is in de Mac wereld inmiddels een befaamde security expert. Zijn website www.objective-see.com website bevat gratis low-level security software voor de Mac. Maak zelf een keuze, sommige software doet rare dingen met bv een VPN.

[Reactie gewijzigd door obimk1 op 24 juli 2024 08:54]

swhnld

@brabbelaar • 14 augustus 2022 10:13

Het tweede lek beschreven kon je zorgen dat Zoom updater oudere versies ging distribueren, dus dan kon je Macbooks op afstand van kwetsbare software voorzien. En het eerste lek controleerde niet afdoende of je een geldige versie downloadde, dus ls je de bron wist te besmetten, alweer pech op afstand.

Het laatste lek wat nu nog open staat lijkt lokale toegang nodig te hebben, waardoor de kans kleiner is. Echter, doe een social engineering sessie, zet zoom op, claim dat er wat crashed, en kans dat slachtoffer je alsnog toegang geeft om te helpen het op te lossen.

Ergo, de eerste 2 lekken konden serieuze schade toebrengen aan een grote groep, het 3de lek kan gericht misbruikt worden.

kodak

Zoom
Hackers

@swhnld • 14 augustus 2022 11:24

Het tweede lek beschreven kon je zorgen dat Zoom updater oudere versies ging distribueren, dus dan kon je Macbooks op afstand van kwetsbare software voorzien.

Er is een verschil tussen iets doet op afstand iets voor jou systeem, en iets doet op afstand iets bij een ander systeem. Ook het probleem met die updater was alleen voor het eigen systeem.

Dat er kennelijk ook oude versies gedownload kunnen worden is meestal een bewuste keuze. Bijvoorbeeld om te testen of omdat de nieuwe versies toch nog niet voldoen aan eisen. Maar om dan ook nog te installeren zonder juiste rechten, dat is op het systeem niet de bedoeling.

Erik1337 @brabbelaar • 14 augustus 2022 10:05

In beide gevallen is het een dreiging, maar een aanvaller moet nog een manier verzinnen om de aangepaste updatetool op de Mac van een gebruiker weten te krijgen (in de meeste gevallen gebeurt dit via social engineering en dan specifiek phishing).

Wat dat betreft is de kans van het risico lager dan de daadwerkelijke impact, ja.

Bulkzooi @brabbelaar • 14 augustus 2022 19:58

Als je een MacOs gebruikt, en je gebruikt (lees: geïnstalleerd) daarop Zoom, dan zijn deze kwetsbaarheden beschikbaar.

Dit betreft dus specifiek MacOs en nu zijn Apple & vooral Zoom onderweg om te patchen.

[Reactie gewijzigd door Bulkzooi op 24 juli 2024 08:54]

xoniq 14 augustus 2022 10:32

Ah zoom. Die al meermaals in t nieuws is geweest door vergelijkbare issues

GertMenkel @xoniq • 14 augustus 2022 11:31

Zoom lijkt de belangrijke opties steeds op te lossen maar echt nadenken over security als onderdeel van hun proces wil er maar niet in komen. Op dit tempo hebben we ieder jaar een nieuwe, grote Zoom-kwetsbaarheid die in de media terecht komt. Wat criminelen en staatshackers er allemaal mee uithalen zullen we niet weten maar ik weet zeker dat ook zij gewoon Zoom onder de loep nemen als het iedere keer raak is bij die partij.

slowdive @GertMenkel • 14 augustus 2022 13:59

Ik durf te stellen dat de kwetsbaarheden die hier genoemd worden bij heel voor softwarepakketten mogelijk zijn:

[
De naam van een bestand bepaald iets in de werking van het programma. Het bestand hernoemen zorgt ervoor dat een andere functie laten wordt uitgevoerd.
het installatieprogramma verifieert zichzelf en op het juiste moment vervang je het door een oude versie. De timing en de lees/schrijfrechten lijken me het grootste probleem.

Er moet maar net iemand op het idee komen om jouw software op deze manier te willen misbruiken. Ik vrees dat heel veel ontwikkelaars nu een lampje gaat branden als ze terugdenken aan code die ze ooit zagen....

Shadow771 @GertMenkel • 14 augustus 2022 22:07

Ik snap ook eigenlijk niet waarom er bedrijven zijn dat Zoom is gaan gebruiken terwijl er betere alternarieven zijn.

beerse @Shadow771 • 15 augustus 2022 00:09

Definieer beter en ik kan je vertellen dat het in veel gevallen niet beter maar vooral anders is.

Als video vergader software is zoom voor mij nummer 1, de rest heeft alleen maar meer balast.

ATS @beerse • 15 augustus 2022 07:55

Klopt, al wordt Zoom ook steeds zwaarder met apps er nu in.

ATS @Shadow771 • 15 augustus 2022 08:01

Vertel, wat zij die betere alternatieven. Merk op: 100% cross platform support (windows, linux en macOS) is een vereiste.
Zoom was de eerste die grotere groepen behoorlijk ondersteunde, al is dat nu eindelijk verbeterd in pakketten zoals Teams (wat nog steeds een draak van een programma is).

Shadow771 @ATS • 15 augustus 2022 09:56

Ms Teams en WebEx

ATS @Shadow771 • 15 augustus 2022 10:03

Teams werkt al niet 100% op Linux.

beerse @Shadow771 • 15 augustus 2022 11:58

msTeams is geen video-vergader app. msTeams is een app om samen te werken. Daar zit dan als bij product ook wat communicatie mogelijkheid in, maar dat is slechts bijzaak. Registreren en bewaren van veel te veel zaken is daar veel belangrijker. Daarmee is msTeams voor mij beslist geen alternatief voor zoom.

Shadow771 @beerse • 15 augustus 2022 13:00

Ik weet niet wat jij dan precies doet met MS Teams, maar ik kan er prima video vergaderingen mee houden.

Al moet ik zeggen dat in het bedrijf waar ik werk dat we WebEx van Cisco gebruiken ipv MS Teams en het werkt top.

beerse @Shadow771 • 15 augustus 2022 13:48

msTeams is een tool waarmee je ongetwijfeld heel goed kan video vergaderen. Ook kan je er heel goed mee skypen. Maar de tool is zo veel meer dat het niet gepast is om het een video vergader tool te noemen. Zelf noemt microsoft het een stuk gereedschap om samen te werken. Met veel mogelijkheden om diverse soorten en maten documenten te bewerken met versiebeheer en dergelijke.

Om je vraag te beantwoorden: Ik doe zo min mogelijk met msTeams. Zeker nadat het mijn msWindows gebaseerde laptop had gekaapt en de manier waarop het niet met verschillende accounts kan om gaan en van alles op 1 hoop gooit. Voorlopig komt msTeams software niet op mijn privé apparatuur.

En over webex: Groot gelijk, daar heb ik, zeker zakelijk, veel betere ervaringen mee. Misschien wel omdat die het al zeker 15 jaar doen.

[Reactie gewijzigd door beerse op 24 juli 2024 08:54]

Bor Coördinator Frontpage Admins / FP Powermod @xoniq • 14 augustus 2022 11:42

Zoom heeft In het verleden vaker last gehad van slechte publiciteit en security issues. In het begin was het dermate erg dat het gebruik van Zoom bij diverse bedrijven verboden werd.

lmartinl @xoniq • 14 augustus 2022 18:20

Er is natuurlijk wel een verschil tussen in het nieuws komen en daadwerkelijk minder veilig zijn dan alternatieven.

beerse @xoniq • 15 augustus 2022 00:18

Zoom heeft voor haar product een paar heel grote concurrenten met een veel breder portfolio. Die concurrenten hebben veel belang bij minder concurrentie en veel mogelijkheden om de concurrentie het vuur aan de schenen te leggen.

Het is met de lijst met issues die bij zoom gevonden worden dat zoom daar steeds goed op reageert. Het zal me niet verbazen als over een paar jaar blijkt dat de concurrentie van zoom achter het vinden van de issues zit.

Ondertussen wordt zoom steeds beter.

alionfire 14 augustus 2022 09:53

In artikelen over kwetsbaarheden is het denk ik een goede toevoeging om te linken naar de CVEs zodat men meer (technische) context kan achterhalen.

Een CVE heb ik gevonden na een snelle zoektocht: CVE-2022-22781

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Zoom

edit: artikel is aangepast

[Reactie gewijzigd door alionfire op 24 juli 2024 08:54]

aikebah @alionfire • 14 augustus 2022 10:42

Niet direct nodig als ze al linken naar de full details in de presentatieslides naar mijn idee (linkje 'zijn bevindingen'),
eerste patch (voorkomen bypass signaturevalidatie via packagenaam) heeft zo te zien geen CVE gehad
tweede patch (voorkomen downgrade-attack die 1) weer mogelijk maakte) CVE2022-22781
derde patch (fixen van verkeerde manier om signatures te valideren) CVE-2022-28571
openstaand: TOCTTOU-fout in de validatie gecombineerd met onjuiste access rights op het package die het een lokale attacker mogelijk maakt om het package tussen verificatie en gebruik te overschrijven met een malafide package, nog geen CVE

mananddog 14 augustus 2022 09:26

Wat een stemmingmakerij door Zoom meerdere malen een Chinees bedrijf te noemen.

“Zoom heeft een groot deel van zijn software-ontwikkelaars in China zitten. Het bedrijf heeft zijn hoofdkantoor echter in Silicon Valley en topman Eric Yuan is weliswaar in China geboren, maar heeft een Amerikaans paspoort.”

Auteur

JayStout Redacteur @mananddog • 14 augustus 2022 09:36

Ik heb het artikel hierop aangepast, dank voor de opmerking

Frame164 @mananddog • 14 augustus 2022 09:31

Ik was ook al verbaasd over die opmerking. Niet zozeeer omdat hun hq gewoon in de VS staat meer waarom het de afgelopen jaren dan zo massaal gebruikt werd, precies in de tijd dat alle geopolitieke discussies begonnen. Als het Chinees was dan had Zoom toch wel in het lijstje Huawei, ZTE, e.d..
gestaan.

downtime @Frame164 • 14 augustus 2022 09:46

Nee want die bedrijven zijn niet aangepakt omdat ze Chinees zijn maar omdat ze nauwe banden met de Chinese overheid (zouden) hebben.

84hannes @downtime • 14 augustus 2022 09:56

Nee want die bedrijven zijn niet aangepakt omdat ze Chinees zijn maar omdat ze nauwe banden met de Chinese overheid (zouden) hebben.

Noem me cynisch, maar ik denk niet dat er een hard onderscheid is tussen Chinese bedrijven en Chinese bedrijven die een nauwe band met de overheid hebben. Als de Chinese overheid wil dat je een backdoor inbouwt dan heb je weinig keus.

n0np3r50n @84hannes • 14 augustus 2022 18:35

Daarom heb ik standaard Zoom verwijderd na 'verplicht' gebruik voor werk als ik het niet meer nodig had. Ik vond mijzelf toen al een beetje sceptisch maar goed om toch die meuk kwijt geraakt te hebben.

supersnathan94

@n0np3r50n • 14 augustus 2022 21:18

Maar dat hoeft dus niet want het is een Amerikaans bedrijf en niet Chinees?

n0np3r50n @supersnathan94 • 17 augustus 2022 15:34

Er zaten fouten in daarom dat ik het niet meer vertrouw? Ik was dus gewoon voorzichtig.

supersnathan94

@n0np3r50n • 17 augustus 2022 17:10

Ah zo. Nee maar je reageerde op iemand die het had over Chinese bedrijven en Zoom is dat niet dus daar dacht ik ff de verkeerde kant op.

laptopleon @84hannes • 14 augustus 2022 13:35

Nou mij nog cynischer, maar ik vertrouw een app niet méér omdat het hoofdkantoor in de VS staat, of omdat de eigenaar een Amerikaan is etc.

Zolang een app niet grondig door minimaal één onafhankelijke, gespecialiseerde partijen onderzocht is, hou ik er rekening mee dat het niet waterdicht is.

divvid @84hannes • 14 augustus 2022 10:05

Zo’n remote dev kan natuurlijk best onder druk gezet worden, maar als het goed is is er een fatsoenlijk code review systeem aan de andere kant van de oceaan. Kans op een onbedoelde backdoor hangt hiervan af natuurlijk

Zoom lijkt serieus naar de bughunters te luisteren, iets waar sommige platforms lakser mee omgaan

[Reactie gewijzigd door divvid op 24 juli 2024 08:54]

84hannes @divvid • 14 augustus 2022 10:34

maar als het goed is is er een fatsoenlijk code review systeem aan de andere kant van de oceaan.

Huren Chinese bedrijven buitenlanders is om hun code te reviewen?

TheVivaldi @84hannes • 14 augustus 2022 11:53

Ik weet niet hoe vaak dat gebeurt, maar dat komt inderdaad wel voor. Deepin (Linux-distributie) doet dat bijv. door de interne code eerst door ontwikkelaars van zowel in als buiten China te laten beoordelen vooraleer ze de code openbaar maken (open sourcen). Daarvoor krijgen zij toegang tot Deepins Gerrit (de VCS die ze intern gebruiken). Dus deels door ingehuurde (ja, echt ingehuurd!) buitenlanders, ja.

[Reactie gewijzigd door TheVivaldi op 24 juli 2024 08:54]

divvid @84hannes • 14 augustus 2022 12:23

Ik neem aan dat Zoom z’n code in de US staat en de review daar gebeurt. Het ia nlk een US bedrijf

Bulkzooi @84hannes • 14 augustus 2022 20:04

[...]

Noem me cynisch, maar ik denk niet dat er een hard onderscheid is tussen Chinese bedrijven en Chinese bedrijven die een nauwe band met de overheid hebben. Als de Chinese overheid wil dat je een backdoor inbouwt dan heb je weinig keus.

Ik denk dat dit eerder (of net zo goed) telt voor de bigtech uit de US of A; Google, Microsoft, Apple, Intel, Qualcomm, Broadcom & Amazon o.a..

Die zijn zelfs dominanter. Of denk je dat die beter zijn?

[Reactie gewijzigd door Bulkzooi op 24 juli 2024 08:54]

84hannes @Bulkzooi • 14 augustus 2022 21:21

Die zijn zelfs dominanter. Of denk je dat die beter zijn?

Ik denk dat de rechtsstaat in de VS beter functioneert dan in China. Ik weet niet of je de FBI kunt aanklagen als ze je tot een achterdeur willen dwingen, maar de mogelijkheden die je hebt om je tegen misbruik van de overheid te verdedigen zijn, hoewel imperfect, vele malen beter dan in China.

Bulkzooi @84hannes • 14 augustus 2022 22:01

[...]..... maar de mogelijkheden die je hebt om je tegen misbruik van de overheid te verdedigen zijn, hoewel imperfect, vele malen beter dan in China.

Dit is nou net wat in de USA onder druk staat; artikel 2 van de Grondwet. Guns & freespeech, kortgezegd.

Het is ook niet echt normaal dat het huis van een voormalig president, die handelsoorlogen naar een nieuw hoogtepunt heeft gestuwd, ge'raid wordt.

Bovendien, Rutte zijn "oplossingen" zijn publiek/private samenwerkingen; de principes die jij bekritiseerd.

[Reactie gewijzigd door Bulkzooi op 24 juli 2024 08:54]

84hannes @Bulkzooi • 15 augustus 2022 08:01

Dit is nou net wat in de USA onder druk staat

Dat het onder druk staat bewijs voor mij dat het bestaat. Je hoort mij niet zeggen dat de VS, of zelfs Nederland, de ideale rechtstaat is. Maar keer op keer worden er zaken tegen de overheid aangespannen en gewonnen, ik zou dat soort voorbeelden uit China wel eens willen zien.

Het is ook niet echt normaal dat het huis van een voormalig president, die handelsoorlogen naar een nieuw hoogtepunt heeft gestuwd, ge'raid wordt.

Het is niet normaal, dat klopt. Helaas ontgaat re relevantie mij?

Bovendien, Rutte zijn "oplossingen" zijn publiek/private samenwerkingen; de principes die jij bekritiseerd.

Samenwerking is in mijn ogen iets heel anders dan een bedrijf effectief controleren.

Bulkzooi @84hannes • 15 augustus 2022 10:22

[...]
Het is niet normaal, dat klopt. Helaas ontgaat re relevantie mij?
[...]

De relevantie ontgaat je??
lol, jij haalt om e.o.a. reden de rechtsstaat erbij. En je zegt dat de US of A beter functioneert dan China. Waarom jij dat doet mag Joost weten; je weet een bug in Zoom om te draaien in een rechtsstatelijke discussie.

En de eigenaardigheden en problematiek met publiek-private-samenwerkingen zijn al decennia bekent. Dat moet je echt ff zelf google.

84hannes @Bulkzooi • 15 augustus 2022 13:18

Beste @Bulkzooi ,

Als je de discussie hebt gevolgd heb je zelf kunnen lezen hoe deze discussie kom verzinken tot een vergelijk tussen de Amerikaanse en de Chinese rechtstaat.

Wat je niet uit het verloop van de discussie zult kunnen halen is wat kritiek op Mark Rutte met het onderwerp te maken heeft.

Bulkzooi @84hannes • 15 augustus 2022 15:02

Beste @Bulkzooi ,
Wat je niet uit het verloop van de discussie zult kunnen halen is wat kritiek op Mark Rutte met het onderwerp te maken heeft.

Dat Rutte toegevoegd wordt betreft het verdere verloop van de discussie, als toevoeging op onvolledigheid en incorrectheid.

Als je de discussie hebt gevolgd heb je zelf kunnen lezen hoe deze discussie kom verzinken tot een vergelijk tussen de Amerikaanse en de Chinese rechtstaat.

Ik reply gewoon op jou, maar ik noem je niet cynisch.

[Reactie gewijzigd door Bulkzooi op 24 juli 2024 08:54]

84hannes @Bulkzooi • 15 augustus 2022 16:46

Dan heb je ook gezien dat deze discussie voortvloeit uit de vraag of Zoom Amerikaans of Chinees is. Dat verschil is naar mijn mening relevant omdat een Amerikaans bedrijf zich moet houden aan de Amerikaanse wet, terwijl een Chinees bedrijf de Chinese overheid moet volgen. Dat is een wezenlijk verschil, omdat de wet openbaar is terwijl de wensen van de Chinese overheid in nevelen zijn gehuld.

Bulkzooi @84hannes • 15 augustus 2022 16:54

Dan heb je ook gezien dat deze discussie voortvloeit uit de vraag of Zoom Amerikaans of Chinees is. Dat verschil is naar mijn mening relevant omdat een Amerikaans bedrijf zich moet houden aan de Amerikaanse wet, terwijl een Chinees bedrijf de Chinese overheid moet volgen. Dat is een wezenlijk verschil, omdat de wet openbaar is terwijl de wensen van de Chinese overheid in nevelen zijn gehuld.

Daarom repleyde ik op je, met een andere mening, en gaf ik enkele argumenten om meer inzichten te geven m.b.t. grote bedrijven, bigtech en hun verwevenheid met de Staat. Inclusief de rol van Rutte in dit proces dus.

Ik bedoel, de digitale invloed laat zich wereldwijd voelen.

[Reactie gewijzigd door Bulkzooi op 24 juli 2024 08:54]

84hannes @Bulkzooi • 15 augustus 2022 21:57

Inclusief de rol van Rutte in dit proces dus.

Nee, dat deed je niet. Je kwam schijnbaar uit het niets met kritiek op samenwerking met private bedrijven. Aangezien die private bedrijven gewoon onder het lokaal recht vallen heb ik gevraagd om verduidelijking en toen je die niet kon geven kreeg ik de opdracht om zelf een verband te zoeken.

Dat moet je echt ff zelf google.

Bulkzooi @84hannes • 16 augustus 2022 00:45

[...]

Nee, dat deed je niet. Je kwam schijnbaar uit het niets met kritiek op samenwerking met private bedrijven. Aangezien die private bedrijven gewoon onder het lokaal recht vallen heb ik gevraagd om verduidelijking en toen je die niet kon geven kreeg ik de opdracht om zelf een verband te zoeken.

[...]

Nee.
Jij pushed je eigen narrative, zonder inachtneming van andermans argumenten.

En ondertussen probeer je continue mijn boodschap te verdraaien en de bal terug te kaatsen naar mij terwijl ik iets toevoeg aan je simpele kijk op moeilijke topics.

Ik zou zeggen: lees nog eens terug.

84hannes @Bulkzooi • 16 augustus 2022 12:10

Iets toevoegen is goed, maar je gaat niet op mijn verhaal in. Waarschijnlijk maak ik te grote stappen als ik veronderstel dat iedereen de relatie tussen de (handhaving van de) wet en het gedrag van bedrijven ziet.

[Reactie gewijzigd door 84hannes op 24 juli 2024 08:54]

Bulkzooi @84hannes • 16 augustus 2022 12:34

Ik zal maar weer quoten, dan zijn we weer terug bij af.

[...]

Noem me cynisch, maar ik denk niet dat er een hard onderscheid is tussen Chinese bedrijven en Chinese bedrijven die een nauwe band met de overheid hebben. Als de Chinese overheid wil dat je een backdoor inbouwt dan heb je weinig keus.

Ik denk dat dit eerder (of net zo goed) telt voor de bigtech uit de US of A; Google, Microsoft, Apple, Intel, Qualcomm, Broadcom & Amazon o.a..

Die zijn zelfs dominanter. Of denk je dat die beter zijn?

Anyway; I'm out.
Je voegt niks toe op mijn initiële toevoeging, die je ook nog eens volledig negeert. Je beantwoord mijn vraag niet eens.

Waarschijnlijk omdat je niet snapt wat bigtech uit de USA allemaal uitspookt.

Typisch gedrag van een iPhone-user die niet snapt dat de markt een globaal verschijnsel is en allerlei zelfaangenomen micro-conclusies tot waarheid heeft verheven.

[Reactie gewijzigd door Bulkzooi op 24 juli 2024 08:54]

84hannes @Bulkzooi • 16 augustus 2022 13:33

Typisch gedrag van een iPhone-user

Ik hoef hier niet op in te gaan maar als al je statements even goed geverifieerd zijn dan denk ik dat verder communiceren inderdaad zinloos is.

Die zijn zelfs dominanter. Of denk je dat die beter zijn?

Ik ben niet op de vraag ingegaan omdat deze irrelevant is. Als een wet je verbiedt om je klanten te misleiden, of als er een regering is die je dwingt om je klanten te misleiden, dan maakt het niet uit of je beter of slechter bent: het gaat er om wat je doet. Mijn excuses dat ik daarin niet expliciet ben geweest, het is slechts mij aan te rekenen dat ik er vanuit ging dat die conclusie vanzelfsprekend was.

[Reactie gewijzigd door 84hannes op 24 juli 2024 08:54]

Shadow771 @Frame164 • 14 augustus 2022 22:08

Waar een bedrijf zn HQ neer zer zegt ook niet altijd alles.. .

33dgrff @mananddog • 14 augustus 2022 16:18

Lijkt mij ook op stemming makerij

Pianist1985 14 augustus 2022 10:19

De grootste liability in Zoom is in de regel de gebruiker zelf. Vraag maar aan Jeffrey Toobin (ex-CNN) die ome Joop een handje gaf terwijl de hele wereld kon meekijken.

Roel1966

14 augustus 2022 18:22

Eigenlijk na een buggy Nvidia driverupdate heb ik mij aangewend om eerst even hier op Tweakers de reacties te lezen bij de driver- en andere softwareupdates. Hiermee voorkom je denk ik deels ook wel dat je per ongeluk een of andere gehackte update binnenhaalt. Helemaal voorkomen is denk ik bijna onmogelijk omdat hackers natuurlijk zeker niet dom zijn en vaak sneller als fabrikanten/softwarehuizen.

Ernie_W 14 augustus 2022 19:06

Dat het de laatste tijd stiller is rond Zoom kwetsbaarheden kan natuurlijk ook liggen aan hun NDA (zwijggeld). Weet nog wel dat de hacker die hun mini-webserver persistent backdoor op Mac onthulde dus Zoom's bug-programma weigerde vanwege die NDA. Hun Security Officer, die de backdoor doodleuk probeerde goed te praten vanwege het gemak bij herinstallatie, zat 2 jaar later gewoon nog op z'n plek.
Wmb 1 strike out. Nooit Zoom software installeren, gebruik de webinterface maar als je moet. Geldt wmb ook voor FB software trouwens.

Erik1337 @Saven • 14 augustus 2022 10:43

In beide artikelen wordt gerefereerd naar kwetsbaarheden die opgelost zijn (en dat in een korte tijdsbestek). Het staat er nota bene zelf in het artikel. Je vraag had je zelf kunnen beantwoorden als je de links zelf had gelezen.

Bulkzooi @Erik1337 • 14 augustus 2022 20:10

In beide artikelen wordt gerefereerd naar kwetsbaarheden die opgelost zijn (en dat in een korte tijdsbestek). Het staat er nota bene zelf in het artikel. Je vraag had je zelf kunnen beantwoorden als je de links zelf had gelezen.

Het betreft specifiek MacOs, en de browser gebruiken is al lang common practice om zwaktes uit de App Store te ontwijken.

[Reactie gewijzigd door Bulkzooi op 24 juli 2024 08:54]

Erik1337 @Bulkzooi • 15 augustus 2022 11:22

De CVEs die MacOS raken stsan beschreven in het artikel

Op dit item kan niet meer gereageerd worden.

Beveiligingsonderzoeker vindt kritieke kwetsbaarheden in Zoom voor macOS

Lees meer

Reacties (60)

Sorteer op:

Weergave: