Outlook 和 Teams 等幾種領先的 Microsoft 軟體在 macOS 上存在安全性問題:駭客可以存取 Mac 的麥克風和網路攝影機,還可以存取資料夾和螢幕錄製。發布者修復了一些漏洞,但不是全部。
Outlook、Teams、PowerPoint、OneNote、Excel 甚至 Word:Mac 使用者可能會使用其中一種或多種軟體。微軟每天。不幸的是,正如思科 Talos 所發現的那樣,它們並非沒有漏洞。
微軟修復了缺陷,但不是全部
根據這些安全研究人員的說法,駭客可以存取 Mac 上特別敏感的資源,例如麥克風、攝影機、資料夾,他們還可以在不通知用戶的情況下錄製螢幕。除 Excel 外,所有應用程式都可以錄製音訊。
該攻擊基於將惡意庫注入應用程序,以恢復和利用授予軟體的權限。 “我們在多個適用於 macOS 的 Microsoft 應用程式中發現了 8 個漏洞,這些漏洞允許攻擊者利用應用程式的現有權限繞過作業系統的權限模型,而無需用戶進行額外驗證», 解釋研究者。
macOS 基於 TCC(透明度、同意和控制)框架,需要明確的使用者授權才能存取敏感資料。這是一個有效的模型,但並非萬無一失:如果具有提升權限的軟體受到損害,則可以利用它來存取這些權限,而無需用戶互動。
從思科Talos獲悉,微軟顯然也沒閒著,更新了OneNote和Teams來堵住該漏洞。另一方面,Excel、PowerPoint、Word 和 Outlook 仍然容易受到攻擊。發布者認為這些缺陷的風險較低,因為必須注入未簽署的庫才能支援插件。
除其他建議外,研究人員建議蘋果在驗證第三方插件的安全性後對其進行公證,以確保它們不包含危險組件。
來源 : 思科塔羅斯
