微軟拒絕修復允許駭客監視 Mac 用戶的缺陷

微軟拒絕修復允許駭客監視 Mac 用戶的缺陷

據一份報告稱,微軟應用程式中發現的安全漏洞使駭客能夠監控您的 Mac。這些應用程式可用於從您的裝置擷取視訊和音訊、取得敏感資訊並獲得提升的權限。

根據網路安全組織Cisco Talos稱,在微軟的 macOS 應用程式(包括 Outlook、Word、Teams、OneNote 和 Excel)中發現了一個重大漏洞。此缺陷允許攻擊者將有害的庫插入到應用程式中,從而授予他們存取應用程式的權限和使用者授予的權利。

macOS 框架在基於權限的系統上運行,並利用透明度、同意和控制 (TCC) 框架。這要求 macOS 在運行新應用程式之前徵求您的許可,並在應用程式需要存取聯絡人、照片、網路攝影機等敏感資訊時顯示提示。

MacBook Air M2
未飛濺

在請求這些權限之前,應用程式必須獲得 Apple 定義的權利。

Microsoft 應用程式的權利包括一個安全漏洞,使駭客能夠繞過權限請求並取得對您的機密資料的存取權。

據思科 Talos 的研究人員稱,在多個專為 macOS 設計的微軟應用程式中總共發現了 8 個漏洞。這些漏洞可能允許攻擊者透過利用現有的應用程式權限來繞過作業系統的權限模型,而無需使用者進行任何進一步的驗證。

儘管思科 Talos 沒有針對在現實世界的攻擊中可能濫用此問題的功能發布漏洞,但他們也沒有確認駭客利用它來存取敏感用戶資訊的任何實例。

Microsoft 更新了 Teams 和 OneNote 應用在 macOS 上處理庫驗證權利的方式。然而,該漏洞仍然對 Excel、PowerPoint、Word 和 Outlook 構成潛在威脅。

這家總部位於雷德蒙的公司並不認為這是一個足夠嚴重的威脅,需要進行修復。

根據網路安全組織的說法,微軟認為這些問題的風險較低。他們還表示,他們的一些應用程式需要能夠載入未簽署的程式庫才能支援插件,因此他們選擇不解決這些問題。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *