A quelques jours de la rentrée, les administrateurs systèmes ont du pain sur la planche en matière de gestion des correctifs notamment sur les terminaux Apple. La semaine dernière, la firme américaine publiait des patchs de sécurité importants pour MacOS et iOS, aujourd’hui c’est au tour de Zoom de fixer une faille critique. La vulnérabilité, découverte par Patrick Wardle de la Fondation Objective-See, concerne le dispositif de mise à jour automatique de Zoom, qui fonctionne avec des privilèges root et ne nécessite pas de mot de passe utilisateur. Quand le processus de mise à jour s'exécute, il vérifie si les mises à jour logicielles sont signées par Zoom, mais M. Wardle a découvert qu'il vérifiait uniquement si le fichier portait le même nom que le certificat de signature. Un pirate pourrait alors utiliser un autre paquet portant le même nom que le certificat pour accéder au Mac.
Patrick Wardle a présenté ses conclusions lors de l'événement DefCon organisé récemment. La démonstration est consultable en ligne. Dans la foulée, Zoom a publié la mise à jour 5.11.5 (9788), qui corrige la faille. En fait, c’est la deuxième fois que la faille est corrigée. En effet, au mois de décembre 2021, le même spécialiste avait déjà informé l’éditeur de l’existence de la vulnérabilité et le fournisseur avait déjà publié un premier correctif. Sauf que celui-ci comportait un bogue qui permettait à la vulnérabilité de rester active. Apparemment, la seconde mise à jour 5.11.5 (9788) n'a pas non plus complètement résolu le problème, puisque Zoom a publié une autre mise à jour 5.11.6 (9098) le 18 août, qui semble cette fois apporte une solution. (La troisième fois est la bonne ?).
Un correctif pas à pas
Zoom a déjà connu plusieurs défaillances en matière de sécurité. Dans le passé, l’application permettait des accès non autorisés aux microphones. Elle a également souffert d’un défaut de chiffrement et certaines réunions ont été perturbées par l’irruption inattendue d’utilisateurs non autorisés. Á chaque fois, Zoom a livré des mises à jour pour corriger ces problèmes.
Il est possible de mettre à jour l’application automatiquement à son lancement. Mais, il faut vérifier qu’il installera bien la dernière version de Zoom, c’est-à-dire la version 5.11.6 (9098). Pour s’en assurer, il faut lancer l'application et cliquer sur zoom.us > Á propos de Zoom. Si vous ne disposez pas de la dernière version, il faudra effectuer une mise à jour manuelle.
Voici comment procéder.
- Vérifier manuellement la mise à jour
Cliquer sur le menu zoom.us et sélectionner « Rechercher les mises à jour ».
- Installer la mise à jour
Zoom va rechercher les mises à jour disponibles et doit proposer la mise à jour 5.11.6 (9890), en affichant les notes de mise à jour. Cliquer sur « Installer » pour continuer.
- Zoom redémarre
Une fenêtre de progression s'affiche pendant l'installation, qui peut prendre quelques minutes, en fonction de sa connexion Internet. Au redémarrage, Zoom affiche une alerte indiquant que la dernière version a été installée. Zoom s’utilise ensuite comme d'habitude.