Zoom propose la version 5.11.5 de son application sur Mac et celle-ci se veut notable puisqu’elle vient corriger une importante faille de sécurité donnant l’accès root.

Zoom Meeting

Le cherche en sécurité Patrick Wardle d’Objective-See a détaillé lors de la conférence Def Con la fameuse vulnérabilité dans Zoom. Bien qu’il a suivi les protocoles de divulgation et qu’il a informé Zoom en décembre 2021, le chercheur a constaté que les tentatives de correction de la faille ont été légères.

La faille concernait l’installateur de l’application de Zoom, elle permettait d’obtenir des privilèges système élevés pour réaliser différents types d’actions sur le Mac. Après avoir demandé à un utilisateur d’entrer le mot de passe lors de la première installation sur un Mac, le dispositif de mise à jour automatique continuait à fonctionner avec un accès root. Un tel accès permet d’ajouter, modifier ou supprimer n’importe quel fichier sur la machine.

Zoom avait d’abord déployé un premier correctif, mais celui-ci n’était pas du tout suffisant. Patrick Wardle a donc prévenu le service de vidéoconférence et il a dû attendre que le nouveau correctif sorte.

Les versions concernées par la faille sont celles entre la 5.7.3 et la 5.11.3. Il est donc conseillé de mettre à jour vers la 5.11.5, et ce le plus rapidement possible.