Popüler ve her yerde bulunan (yazılım her zaman bu iki şey değildir!) bulut toplantı şirketi Zoom kısa süre önce yazılımının Mac sürümünde olması beklenmeyen bir hata olduğunu duyurdu.
Güvenlik bülteni, affedilir bir şekilde, böcek avcılarının tipik staccato ve jargonla ıslanmış tarzında yazılmıştır, ancak anlamı oldukça açıktır.
Hata belirtilir CVE-2022-28762, ve ayrıntılı olarak Yakınlaştırma Bülteni ZB-22023:
Belirli Zoom Uygulamalarını çalıştırarak Zoom Uygulama Katmanları API'sinin bir parçası olarak kamera modu oluşturma bağlamı etkinleştirildiğinde, Zoom istemcisi tarafından yerel bir hata ayıklama bağlantı noktası açılır.
Bugün nereye gitmek istersiniz?
Bir "hata ayıklama bağlantı noktası" tipik olarak, hata ayıklama isteklerini işleyen, genellikle bir TCP soketi olan bir dinleme ağ bağlantısını ifade eder.
Bir e-posta sunucusunun genellikle 25 numaralı TCP bağlantı noktasını dinlediği, uzak e-posta istemcilerinin ağ üzerinden "aramasını" ve gelen iletileri teslim etmek için izin istemesini beklediği gibi, hata ayıklama bağlantı noktaları da kendi seçtikleri bir bağlantı noktasını dinler (genellikle yapılandırılabilir, bazen yalnızca belgelenmemiş bir şekilde) hata ayıklama komutları vermek isteyen gelen bağlantılar için.
Ancak, mesaj teslimi ile ilgili istekleri kabul eden bir e-posta sunucusunun aksine (örn. MAIL FROM ve RCPT TO), hata ayıklama bağlantıları genellikle bağlandığınız uygulamayla çok daha yakın bir etkileşim türü sağlar.
Gerçekten de, hata ayıklama bağlantı noktaları genellikle yalnızca uygulamanın kendisinin yapılandırması ve dahili durumu hakkında bilgi edinmenize değil, aynı zamanda normal kullanıcılar tarafından kullanılamayan güvenliği azaltan komutlar da dahil olmak üzere doğrudan uygulamaya komutlar vermenize de olanak tanır. normal kullanıcı arayüzü aracılığıyla.
Örneğin, bir e-posta sunucusu, genellikle seçtiğiniz bir kullanıcı adı için TCP bağlantı noktasına bir mesaj göndermenize izin verir, ancak sunucunun kendisini yeniden yapılandıran komutlar göndermenize ve gizli bilgileri çıkarmanıza izin vermez. sunucu istatistikleri veya diğer kişilerin mesajları gibi.
Buna karşılık, bunlar tam olarak hata ayıklama bağlantı noktalarının genellikle izin verdiği türden "özellikler"dir, böylece geliştiriciler, normal kullanıcı arayüzünden geçmek zorunda kalmadan sorunları çözmeye çalışırken uygulamalarının davranışını ince ayar yapabilir ve izleyebilir.
(Kullanıcı arayüzünün hatalarını ayıklamak için kullanıcı arayüzünü kullanma eyleminin neredeyse kesinlikle müdahale edeceği göz önüne alındığında, bir uygulamanın bağırsaklarına bu tür bir “yan kanalın” nasıl özellikle kullanışlı olacağını görebilirsiniz. yapmaya çalıştığınız ölçümlerle.)
Özellikle, hata ayıklama bağlantı noktaları, tipik olarak, uygulamanın kendisinin bir tür "dahili görünümünü" elde etmenize olanak tanır, örneğin: genellikle uygulamanın kullanıcılarına asla maruz kalmayacak olan bellek alanlarına göz atmak; parolalar ve erişim belirteçleri gibi gizli verileri içerebilecek veri anlık görüntülerini alma; ve kullanıcıyı uyarmadan ses veya video yakalamalarını tetiklemek…
…hepsi ilk etapta uygulamaya veya hizmete giriş yapmadan.
Başka bir deyişle, hata ayıklama bağlantı noktaları, geliştirme ve test sırasında kullanım için gerekli bir kötülüktür, ancak uygulamanın düzenli kullanımı sırasında, getirdikleri bariz güvenlik açıkları nedeniyle etkinleştirilmeleri veya ideal olarak etkinleştirilebilir olmaları gerekmez.
Şifreye gerek yok
Açıkça söylemek gerekirse, hata ayıklayıcının dinlediği TCP bağlantı noktasına erişiminiz varsa ve bununla bir TCP bağlantısı oluşturabiliyorsanız, uygulamayı devralmak için ihtiyacınız olan tüm kimlik doğrulama budur.
İşte bu nedenle hata ayıklama bağlantı noktaları, genellikle yalnızca dikkatli bir şekilde kontrol edilen koşullar altında etkinleştirilir; bir geliştiricinin, etkin bir şekilde düzenlenmemiş ve potansiyel olarak tehlikeli süper güç erişiminin keyfini çıkararak uygulamanın içinde dolaşabilmesine gerçekten izin vermek istediğinizi bildiğinizde.
Aslında, birçok yazılım ürünü kasıtlı olarak iki farklı şekilde oluşturulmuştur: istendiğinde hata ayıklamanın açılabileceği bir hata ayıklama yapısı ve hata ayıklama özelliklerinin tamamen çıkarıldığı ve bu nedenle bunların herhangi bir şekilde etkinleştirilemeyeceği bir sürüm yapısı. kaza veya tasarım gereği.
Google'ın Android telefonları, bir USB kablosu takabileceğiniz ve ADB olarak bilinen, kısaca ADB olarak bilinen şey aracılığıyla dizüstü bilgisayarınızdan telefona (tam kök yetkileriyle olmasa da) girebileceğiniz bir hata ayıklama modu içerir. Android Hata Ayıklama Köprüsü. Hata ayıklamayı hiç etkinleştirmek için önce tıklamanız gerekir. Ayarlar > Telefon Hakkında > Yapı numarası arka arkaya yedi kez (gerçekten!). Ancak o zaman hata ayıklamayı açma seçeneği, etkinleştirebileceğiniz menülerde bile görünür. Ayarlar > sistem > gelişmiş > Geliştirici Seçenekleri > USB hata ayıklama. Ardından, dizüstü bilgisayarınızdan prize takıp bağlanmaya çalıştığınızda, telefonun kendisinde açılan bir uyarı penceresi aracılığıyla bağlantıyı yetkilendirmeniz gerekir. Kilidi açılmış bir telefona fiziksel erişiminiz varsa, bunu kesinlikle bilerek yapabilirsiniz, ancak yanlışlıkla olması pek olası değildir.
Ek güvenlik için, hata ayıklama bağlantı noktaları genellikle diğer bilgisayarlardan gelen bağlantıları kabul etmeyecek şekilde ayarlanır (teknik açıdan, yalnızca "yerel ana bilgisayar" arabirimini dinlerler).
Bu, yanlış etkinleştirilmiş bir hata ayıklama arabirimini kötüye kullanmak isteyen bir saldırganın, internet üzerinden bağlantıları kabul eden ve ardından ağ paketlerini "yerel ana bilgisayar" ağ arabirimine ileten bir tür proxy kötü amaçlı yazılım gibi, önce bilgisayarınızda bir dayanak noktası olması gerektiği anlamına gelir.
CVE-2022-28762 durumunda bir tür yerel erişim ihtiyacına rağmen Zoom bu hataya CVSS "önem derecesi" 7.3/10 (%73) ve aciliyet derecesi verdi. Yüksek.
Yerel TCP ağ bağlantıları tipik olarak kullanıcı ve işlem sınırları arasında çalışacak şekilde tasarlanmıştır, bu nedenle bir saldırganın bu hatayı kötüye kullanması için siz (veya yönetici) olarak oturum açması gerekmez - herhangi bir işlem, hatta çok sınırlı bir program altında çalışan bir program. misafir hesabı, istediğiniz zaman sizi gözetleyebilir.
Ayrıca, bir hata ayıklama bağlantı noktası aracılığıyla verilen yazılım komutları tipik olarak bir uygulamanın normal kullanıcı arayüzünden bağımsız olarak çalıştığından, muhtemelen Zoom oturumunuzun bu şekilde ele geçirildiğine dair herhangi bir hediye işareti görmezsiniz.
Bir saldırgan, uygulamayı Ekran Paylaşımı (VNC) gibi daha geleneksel Mac uzaktan kumanda kanalları aracılığıyla etkinleştiriyorsa, en azından saldırganın fare imlecini hareket ettirdiğini, menü düğmelerini tıklattığını veya metin yazdığını tespit etme şansınız olurdu…
…ama aslında kasıtlı bir arka kapı olan bir hata ayıklama arayüzü aracılığıyla, bir saldırganın web kameranızı ve mikrofonunuzu kullanarak sizi çok kişisel olarak gözetlediğinden mutlulukla habersiz olabilirsiniz (ve belki de algılayamayabilirsiniz).
Ne yapalım?
Neyse ki, Zoom'un kendi güvenlik ekibi, bir derleme zamanı hatası olduğunu varsaydığımız şeyi fark etti (etkin bırakılması, bastırılması gereken bir özellik) ve buggy Mac yazılımını hemen güncelledi.
için macOS Yakınlaştırma İstemcinize güncelleyin. sürüm 5.12.0 veya üstü Zoom kullandığınızda hata ayıklama bağlantı noktası kapalı kalır.
Mac'te ana menüye gidin zoom.us menü ve seçim Check for Updates... En son sürüme sahip olup olmadığınızı görmek için
- blockchain
- zeka
- cryptocurrency cüzdanlar
- kripto değişimi
- CVE-2022-28762
- siber güvenlik
- siber suçluların
- Siber güvenlik
- iç güvenlik bakanlığı
- dijital cüzdanlar
- güvenlik duvarı
- Kaspersky
- kötü amaçlı yazılım
- Mcafee
- Çıplak Güvenlik
- NexBLOC
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- snooping'i
- casus
- Kategorilenmemiş
- VPN
- güvenlik açığı
- web sitesi güvenliği
- zefirnet
- yakınlaştırma
![S3 Ep120: Bozuk kriptonun gitmesine izin vermediği zaman [Ses + Metin]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep120-when-dud-crypto-simply-wont-let-go-audio-text-300x157.png "S3 Ep120: Bozuk kriptonun gitmesine izin vermediği zaman [Ses + Metin]")
