Re: [gull] Zoom c'est risque (ex: Tester les projets de Framasoft)

Fri, 03 Apr 2020 03:17:11 -0700
Les mêmes échos me revenaient qu'à toi, Daniel. Un collègue me disait que deux nouvelles failles étaient récemment découvertes sur l'implémentation OS.X du client lourd Zoom. 



La première permet à un forban d'obtenir les mêmes droits d'accès au
micro et à la webcam de Zoom. Le logiciel doit en effet demander la
permission de l'utilisateur pour accéder à ces composants
indispensables à son fonctionnement. Cette demande d'autorisation
présente une faille qui permet à un bandit d'injecter du code
malicieux, afin de récupérer les droits d'accès. Ce dernier peut
alors surveiller en douce l'utilisateur.

La deuxième faille est directement liée au système d'installation du
logiciel sur macOS, qui va beaucoup trop vite en besogne. Il se
trouve qu'un malapris est en mesure de glisser du code avec les
privilèges d'un utilisateur lambda afin d'obtenir un accès root. Il
peut ainsi accéder aux couches les plus basses et les plus sensibles
de macOS, ce qui n'est pas sans poser de sérieux problèmes de
sécurité.

Zoom n'a pas encore fourni de correctifs.



Source: 
https://www.macg.co/logiciels/2020/04/et-voici-deux-nouvelles-failles-de-securite-pour-zoom-112991




Le 03/04/2020 à 11:44, Isa & Manu Joos a écrit :
>
> Qu'entends-tu par "client lourd" ?



C'est une terminologie qu'on emploie parfois par opposition au "client 
léger" sur le navigateur web.



Client lourd: application compilée nativement pour le système 
d'exploitation pour lequel elle a été conçue, et fonctionnant localement 
sur le poste de travail, en en sollicitant les ressources.



Client léger: application web fonctionnant à distance sur le serveur, et 
donc seule l'interface visuelle utilisateur fonctionne localement, dans 
le navigateur web. C'est pour ça que c'est dit être "léger".



A bientôt.


--
Frederic Dumas
f.du...@ellis.siteparc.fr


Le 03/04/2020 à 11:15, Daniel Cordey a écrit :

Sauf que en ce qui concerne ce domaine, Zoom est sans doute le pire 
élève de la classe. Ils ont menti, et continuent à le faire, à leurs 
clients en ce qui concerne le "End-to-End" encryptage (qui n'est en fait 
que le cryptage du transport !). Ils ont installé des serveurs web sur 
les matériels des clients pour leur permettre de se connecter a un 
meeting sans permissions. Ils ont des fonctionnalités qui permettent de 
contrôler ce que font les participants durant le meeting. Ils ont vendu 
des données personnelles à Facebook. Etc.


_______________________________________________
gull mailing list
gull@forum.linux-gull.ch
https://forum.linux-gull.ch/mailman/listinfo/gull





















					Répondre à