近日,网络安全公司Cisco Talos发现,macOS版微软365应用存在八个潜在的漏洞。黑客能够利用这些漏洞绕过macOS的权限模型,无需用户额外验证即可在现有应用权限下执行恶意操作。具体而言,黑客可以在未经用户许可的情况下发送电子邮件、录制音频、拍照或录像。
这些漏洞是基于代码注入技术,即恶意代码被插入到合法进程中以访问受保护的资源。苹果的macOS系统本身就具备“强化运行时”等安全功能来防御代码注入。然而,开发人员可以通过设置“com.apple.security.cs.disable-library-validation”权限为true来绕过此功能。
Talos已将这些漏洞通报给了微软团队,并得到回应称这些漏洞风险较低。由于微软的macOS应用程序需要加载未签名的库以支持插件功能,因此无法修复这些漏洞。不过微软已经对以下应用进行了修复:
- 微软Teams(工作或学校)应用
- 微软Teams(工作或学校)网页版
- 微软Teams(工作或学校)桌面版
- 微软OneNote
尽管如此,仍有四个应用程序存在漏洞:
- 微软Excel
- 微软Outlook
- 微软PowerPoint
- 微软Word
新浪科技公众号
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
