줌(Zoom)이 ‘데프 콘(DEF CON)’ 보안 컨퍼런스에서 공개된 macOS 내 발생하는 2가지 보안 취약점을 해결하기 위한 업데이트를 출시했다.
MacOS 보안 연구원 Patrick Wardle는 컨퍼런스 연설에서 이번 취약점에 대한 기술적 세부 정보를 공개했다.
Patrick Wardle에 따르면, 이번 취약점은 권한이 없는 해커가 macOS를 탐색해 장치에 접근할 수 있게 만든다.
Patrick Wardle는 “이 강연에서 우리는 줌의 macOS 애플리케이션을 살펴보고 몇 가지 중요한 보안 취약점을 발견했다. 첫 번째 결함은 핵심 암호화 유효성 검사 과정에서 나타난다. 두 번째 결함은 줌의 클라이언트와 권한 있는 도우미 구성 요소 간의 상호작용에서 발생한다”라고 설명했다.
업데이트 메커니즘을 하이재킹하면, 해커는 줌을 취약점의 영향을 받는 이전 버전으로 다운그레이드할 수 있다. 전문가들은 자동 업데이트 기능의 활성화 때문에 줌이 업데이트될 때 사용자들에게 관리자 암호를 묻는 메시지가 표시되지 않는 점을 지적했다.
줌은 사용자들에게 업데이트를 통해 두 가지 취약점을 해결했다고 알렸다. 하지만 Patrick Wardle은 여전히 해커가 취약점을 악용할 수 있다고 말했다.
이에 줌은 자동 업데이트 프로세스 취약점(CVE-2022-28756)을 수정하는 macOS 5.11.5용 Client for Meetings를 출시했다. 또한 패킷 서명 검증 문제(CVE-2022-28751)를 해결하는 버전 5.11.3도 발표했다.
다음은 줌이 이번에 업데이트한 취약점 목록이다.
▲CVE-2022-28753, CVE-2022-28754: Zoom 온프레미스 배포: 부적절한 접근 제어 취약점(HIGH)
▲CVE-2022-28755: Zoom 클라이언트의 부적절한 URL 구문 분석(중요)
▲CVE-2022-28752: Windows 클라이언트용 Zoom Rooms의 로컬 권한 상승(HIGH)
▲CVE-2022-28750: Zoom On-Premise 배포: Meeting Connector의 스택 버퍼 오버플로(HIGH)
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
