近日，CNMO從外媒了解到，微軟為macOS開(kāi)發(fā)的多款應(yīng)用程序被曝存在多個(gè)安全漏洞，這些漏洞允許黑客利用蘋(píng)果操作系統(tǒng)的權(quán)限框架，非法訪問(wèn)用戶的攝像頭和麥克風(fēng)。受影響的軟件包括Microsoft Office、Outlook、Teams、OneNote等。

網(wǎng)絡(luò)安全組織Cisco Talos披露了這些漏洞的詳細(xì)情況，指出黑客可以通過(guò)注入特制的惡意庫(kù)到Outlook、Teams、PowerPoint、Excel、Word、OneNote這六款應(yīng)用中，繞過(guò)macOS的權(quán)限模型，實(shí)現(xiàn)對(duì)用戶設(shè)備的非法控制。

按照蘋(píng)果在macOS上的透明度、同意和控制（TCC）框架，惡意軟件需要獲得用戶對(duì)相關(guān)權(quán)限的明確同意才能訪問(wèn)用戶的麥克風(fēng)和攝像頭。然而，某些惡意程序可以使用一種稱為庫(kù)注入（或在macOS上稱為dylib注入）的過(guò)程，來(lái)獲得已授予其他應(yīng)用程序的權(quán)限。

據(jù)Cisco Talos稱，安裝了微軟應(yīng)用程序的macOS用戶可能會(huì)受到黑客攻擊。這些漏洞使黑客能夠通過(guò)將庫(kù)注入到上述應(yīng)用程序中來(lái)錄制音頻。在列出的應(yīng)用程序中，只有Microsoft Excel沒(méi)有訪問(wèn)麥克風(fēng)的權(quán)限，而像Microsoft Teams這樣的應(yīng)用程序還可以訪問(wèn)設(shè)備的攝像頭。

網(wǎng)絡(luò)安全組織表示，它已向微軟報(bào)告了這些安全漏洞，微軟已對(duì)兩款受影響的應(yīng)用程序進(jìn)行了更新以修復(fù)這些漏洞。運(yùn)行最新版本的Microsoft Teams和OneNote的用戶應(yīng)該不會(huì)受到影響，但微軟的Outlook和Office應(yīng)用程序目前仍受到安全漏洞的影響。

Cisco Talos表示，微軟本不應(yīng)禁用庫(kù)驗(yàn)證，因?yàn)檫@會(huì)使用戶面臨不必要的風(fēng)險(xiǎn)，因?yàn)樗@過(guò)了蘋(píng)果在操作系統(tǒng)上實(shí)施的、旨在通過(guò)TCC和權(quán)限模型保護(hù)用戶的強(qiáng)化運(yùn)行時(shí)保護(hù)措施。