Echo

Echo 关注TA

大家好,我是Echo!

Echo

Echo

关注TA

大家好,我是Echo!

  •  普罗旺斯
  • 自由职业
  • 写了309,890,205字

该文章投稿至Nemo社区   资讯  板块 复制链接


苹果 macOS 版微软 365 应用存漏洞,黑客可绕过权限执行恶意操作

发布于 2024/08/20 13:39 214浏览 0回复 736

IT之家 8 月 20 日消息,网络安全公司 Cisco Talos 最近发现,macOS 版微软 365 应用存在八个漏洞。黑客可以利用这些漏洞绕过 macOS 的权限模型,无需用户额外验证,即可利用现有应用权限执行恶意操作。简单来说,黑客可以在未经用户许可的情况下,发送电子邮件、录制音频、拍照或录像。

据IT之家了解,这些漏洞基于代码注入技术,即恶意代码被插入到合法进程中,从而访问受保护的资源。苹果的 macOS 系统本身就具备“强化运行时(Hardened Runtime)”等安全功能来防御代码注入。该功能会阻止应用程序加载未经苹果签名或与主应用程序团队 ID 不匹配的框架、插件或库。然而,开发人员可以通过设置“com.apple.security.cs.disable-library-validation”权限为 true 来绕过此功能。由于微软的 macOS 应用启用了此设置,从而导致了这 8 个新漏洞的出现。

Talos 将这些漏洞通报给了微软团队,微软回应称这些漏洞风险较低。由于微软这些应用程序需要允许加载未签名的库来支持插件功能,因此无法修复这些漏洞。不过,微软已经为以下不支持插件的应用修复了漏洞:

  • 微软 Teams(工作或学校)应用

  • 微软 Teams(工作或学校)网页版

  • 微软 Teams(工作或学校)桌面版

  • 微软 OneNote

然而,以下四个应用仍然存在漏洞:

  • 微软 Excel

  • 微软 Outlook

  • 微软 PowerPoint

  • 微软 Word

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。


本文由LinkNemo爬虫[Echo]采集自[https://www.ithome.com/0/789/742.htm]

本文标签
 {{tag}}
点了个评