Einem Bericht zufolge ermöglicht eine in Microsoft-Apps entdeckte Sicherheitslücke Hackern, Ihren Mac zu überwachen. Diese Apps können ausgenutzt werden, um Video- und Audiodaten von Ihrem Gerät aufzuzeichnen, vertrauliche Informationen abzugreifen und erweiterte Berechtigungen zu erlangen.
Laut Cisco Talos , einer Cybersicherheitsgruppe, wurde in den macOS-Anwendungen von Microsoft, darunter Outlook, Word, Teams, OneNote und Excel, eine erhebliche Schwachstelle entdeckt. Dieser Fehler ermöglicht es Angreifern, schädliche Bibliotheken in die Apps einzufügen und ihnen so Zugriff auf die Berechtigungen der Apps und die vom Benutzer gewährten Berechtigungen zu gewähren.
Das macOS-Framework arbeitet auf einem berechtigungsbasierten System und nutzt das Transparenz-, Zustimmungs- und Kontroll-Framework (TCC). Dies erfordert, dass macOS vor dem Ausführen neuer Apps Ihre Erlaubnis einholt und Eingabeaufforderungen anzeigt, wenn Apps auf vertrauliche Informationen wie Kontakte, Fotos, Webcams usw. zugreifen müssen.
Bevor diese Berechtigungen angefordert werden, müssen Apps die von Apple definierten Berechtigungen einholen.
Die Berechtigungen von Microsoft-Apps enthalten eine Sicherheitslücke, die es Hackern ermöglicht, Berechtigungsanfragen zu umgehen und Zugriff auf Ihre vertraulichen Daten zu erhalten.
Laut Forschern von Cisco Talos wurden in mehreren für macOS entwickelten Microsoft-Anwendungen insgesamt acht Schwachstellen entdeckt. Diese Schwachstellen könnten es einem Angreifer möglicherweise ermöglichen, das Berechtigungsmodell des Betriebssystems zu umgehen, indem er vorhandene App-Berechtigungen ausnutzt, ohne dass eine weitere Überprüfung durch den Benutzer erforderlich ist.
Obwohl Cisco Talos keinen funktionsfähigen Exploit für den potenziellen Missbrauch dieses Problems bei realen Angriffen veröffentlicht hat, konnte das Unternehmen auch keinen Fall bestätigen, in dem Hacker dieses Problem ausgenutzt hätten, um Zugriff auf vertrauliche Benutzerinformationen zu erhalten.
Microsoft hat die Art und Weise aktualisiert, wie Teams- und OneNote-Apps die Berechtigung zur Bibliotheksvalidierung unter macOS handhaben. Der Exploit bleibt jedoch weiterhin eine potenzielle Bedrohung für Excel, PowerPoint, Word und Outlook.
Das in Redmond ansässige Unternehmen hält die Bedrohung nicht für ausreichend, um eine Lösung zu rechtfertigen.
Laut der Cybersecurity-Gruppe hat Microsoft diese Probleme als risikoarm eingestuft. Sie haben außerdem erklärt, dass einige ihrer Anwendungen die Möglichkeit erfordern, nicht signierte Bibliotheken zu laden, um Plug-Ins zu unterstützen, und haben sich daher entschieden, die Probleme nicht zu beheben.
Schreibe einen Kommentar