近日,据外媒报道,微软为macOS开发的多款应用程序存在多个安全漏洞。这些漏洞可能使黑客能够利用苹果操作系统的权限框架,非法访问用户的摄像头和麦克风。受影响的软件包括Microsoft Office、Outlook、Teams、OneNote等。
网络安全组织Cisco Talos披露了这些漏洞的详细情况,并指出黑客可以通过注入特制的恶意库到Outlook、Teams、PowerPoint、Excel、Word和OneNote这六款应用中,在绕过macOS的权限模型后,实现对用户设备的非法控制。按照苹果在macOS上的透明度、同意和控制(TCC)框架,恶意软件需要获得用户对相关权限的明确同意才能访问用户的麦克风和摄像头。然而,某些恶意程序可以使用库注入的过程来获取已授予其他应用程序的权限。
据了解,安装了微软应用程序的macOS用户可能会受到黑客攻击。黑客可以将库注入到上述应用程序中来录制音频。值得注意的是,只有Microsoft Excel没有访问麦克风的权限,而像Microsoft Teams这样的应用程序还可以访问设备的摄像头。
网络安全组织表示,它已向微软报告了这些安全漏洞,并且微软已经针对两款受影响的应用程序进行了更新以修复这些问题。然而,目前仍有一些用户受到了这些安全漏洞的影响。特别是微软的Outlook和Office应用程序仍然存在这些问题。
根据Cisco Talos的说法,微软本不应禁用库验证功能,因为这会使用户面临不必要的风险。此外,库验证还能够绕过苹果在操作系统上实施的旨在通过TCC和权限模型保护用户的强化运行时保护措施。因此,建议所有受到影响的用户尽快升级相关软件版本以确保安全性。
评论