资讯
8月20日消息,macOS平台上的微软365应用曝露出八个严重的安全漏洞。这些漏洞能被黑客利用以规避macOS系统的权限控制,意味着攻击者能在不触发任何额外用户授权的情况下,依托已获授权的应用功能执行恶意活动,例如擅自发送邮件、录制音频、拍照和录制视频,用户的隐私与安全因此面临威胁。
据了解,这些漏洞基于代码注入技术,即恶意代码被插入到合法进程中,从而访问受保护的资源。苹果的 macOS 系统本身就具备“强化运行时(Hardened Runtime)”等安全功能来防御代码注入。
该功能会阻止应用程序加载未经苹果签名或与主应用程序团队 ID 不匹配的框架、插件或库。然而,开发人员可以通过设置“com.apple.security.cs.disable-library-validation”权限为 true 来绕过此功能。由于微软的 macOS 应用启用了此设置,从而导致了这 8 个新漏洞的出现。
Talos 将这些漏洞通报给了微软团队,微软回应称这些漏洞风险较低。由于微软这些应用程序需要允许加载未签名的库来支持插件功能,因此无法修复这些漏洞。
不过,微软已经为以下不支持插件的应用修复了漏洞:
微软 Teams(工作或学校)应用
微软 Teams(工作或学校)网页版
微软 Teams(工作或学校)桌面版
微软 OneNote
然而,以下四个应用仍然存在漏洞:
微软 Excel
微软 Outlook
微软 PowerPoint
微软 Word
文明上网,理性发言,共同做网络文明传播者