Outlook 和 Teams 等几种领先的 Microsoft 软件在 macOS 上存在安全问题:黑客可以访问 Mac 的麦克风和网络摄像头,还可以访问文件夹和屏幕录制。发布者修复了一些漏洞,但不是全部。
Outlook、Teams、PowerPoint、OneNote、Excel 甚至 Word:Mac 用户可能会使用其中一种或多种软件。微软每天。不幸的是,正如思科 Talos 发现的那样,它们并非没有漏洞。
微软修复了缺陷,但不是全部
根据这些安全研究人员的说法,黑客可以访问 Mac 上特别敏感的资源,例如麦克风、摄像头、文件夹,他们还可以在不通知用户的情况下录制屏幕。除 Excel 外,所有应用程序都可以录制音频。
该攻击基于将恶意库注入应用程序,以恢复和利用授予软件的权限。 “我们在多个适用于 macOS 的 Microsoft 应用程序中发现了 8 个漏洞,这些漏洞允许攻击者利用应用程序的现有权限绕过操作系统的权限模型,而无需用户进行额外验证», 解释研究人员。
macOS 基于 TCC(透明度、同意和控制)框架,需要明确的用户授权才能访问敏感数据。这是一个有效的模型,但并非万无一失:如果具有提升权限的软件受到损害,则可以利用它来访问这些权限,而无需用户交互。
从思科Talos获悉,微软显然也没有闲着,更新了OneNote和Teams来堵住该漏洞。另一方面,Excel、PowerPoint、Word 和 Outlook 仍然容易受到攻击。发布者认为这些缺陷的风险较低,因为必须注入未签名的库才能支持插件。
除其他建议外,研究人员建议苹果在验证第三方插件的安全性后对其进行公证,以确保它们不包含危险组件。
来源 : 思科塔罗斯