一而再、再而三。

 

自动更新功能可以让使用者无需烦心，应用程式能自动获得最新、最有效的保护和功能，然而视讯会议工具 Zoom 却被发现在此有漏洞，使得骇客能藉此控制你的 Mac 电脑。据 Wired 引述今年 DefCon 世界骇客大赛上，由 Mac 研究员 Patrick Wardle 发表的两个漏洞研究显示，Zoom 检查签署的功能未能阻挡骇客骗过程式，可以命令自动更新的下载器去下载更旧和存有漏洞的版本。而且这更简单得只要把有问题档案换个特定名字，就可以越过签署检查并安装，骇客就能藉此获得 root 存取，进而对目标的 Mac 进行控制。

 

有趣的是 The Verge 报导指 Wardle 早在 2021 年 12 年就向 Zoom 回报漏洞，官方也释出了更新来修复，但这却又带来另一隻臭虫。第二个漏洞是骇客能够规避 Zoom 在检查是否下载得最新版本的工具，同样也是能使其安装有问题版本。

 

好了，Zoom 再、再修复了漏洞之后，蓝冠线路测试Wardle 又再发现另一个问题，而这也是最新一个在大会发表的。他发现到原来在自动更新工具的软体封包检查步骤和确实安装之间，是有著时间差的，同时更新包还保留了原来的读写授权，让任何人都可以修改，骇客不用获得 root 权限也可以趁机“加料”，把有问题的代码加进更新包之中。

 

Zoom 在回覆 The Verge 的查询时，指他们已经努力修复有关漏洞。Wired 另外也指，现存的漏洞需要获得已有的授权才能够进行攻击，所以风险相对较低。无论如何，蓝冠测速自动更新功能还是建议使用的，大家就先不要被这次的连环出包吓坏吧。