据报道,微软应用程序中发现一个安全漏洞,可让黑客监控您的 Mac。这些应用程序可被用来从您的设备捕获视频和音频、获取敏感信息并获得提升的权限。
据网络安全组织Cisco Talos称,微软 macOS 应用程序中发现了一个重大漏洞,包括 Outlook、Word、Teams、OneNote 和 Excel。此漏洞允许攻击者将有害库插入应用程序,从而授予他们访问应用程序权限和用户授予的权利的权限。
macOS 框架在基于权限的系统上运行,并利用透明度、同意和控制 (TCC) 框架。这要求 macOS 在运行新应用程序之前征求您的许可,并在应用程序需要访问敏感信息(例如联系人、照片、网络摄像头等)时显示提示。
在请求这些权限之前,应用程序必须获得 Apple 定义的权利。
Microsoft 应用程序的授权包含一个安全漏洞,使黑客能够绕过权限请求并获取您的机密数据的访问权限。
据思科 Talos 研究人员称,在为 macOS 设计的多个 Microsoft 应用程序中总共发现了八个漏洞。这些漏洞可能允许攻击者通过利用现有的应用程序权限来绕过操作系统的权限模型,而无需用户进行任何进一步验证。
虽然思科 Talos 尚未发布针对该问题在实际攻击中可能被滥用的功能漏洞,但他们也没有证实有任何黑客利用它来获取敏感用户信息的实例。
微软已更新 Teams 和 OneNote 应用在 macOS 上处理库验证权限的方式。然而,该漏洞仍然对 Excel、PowerPoint、Word 和 Outlook 构成潜在威胁。
这家位于雷德蒙德的公司并不认为该威胁严重到需要进行修复。
据网络安全小组称,微软认为这些问题风险较低。他们还表示,他们的一些应用程序需要加载未签名的库才能支持插件,因此他们选择不解决这些问题。
发表回复