macOS版微软M365应用程序存在共通漏洞,攻击者有机会借此绕过系统权限
支付動態 · 2024-08-27

思科近期揭露macOS版Microsoft 365办公室软件的高风险漏洞,并指出此套装软件大部分的应用程序都曝险,一旦攻击者触发漏洞,就有机会得到用户授予应用程序的权限

思科旗下威胁情报团队Talos在macOS版的Microsoft 365办公室套装软件,最近找到8个漏洞,并指出攻击者若是将恶意程序库注入应用程序,就有机会触发这些漏洞,从而取得用户授予应用程序的权限,例如:存取麦克风、视讯镜头、文件夹、屏幕录制、用户输入等资源,一旦攻击者掌握这些权限,就有可能泄露敏感信息,甚至提升权限。

此次漏洞揭露涵盖的Office应用程序,包含Word(CVE-2024-41165)、Excel(CVE-2024-43106)、PowerPoint(CVE-2024-39804)、Outlook(CVE-2024-42220)、OneNote(CVE-2024-41159),以及Teams(CVE-2024-41138、CVE-2024-41145、CVE-2024-42004)。

上述漏洞的CVSS风险评分皆为7.1,研究人员表示,攻击者可利用这些漏洞得到应用程序已取得的权限,从而绕过操作系统的安全防护框架Transparency, Consent, and Control(TCC),过程中完全不需向使用者取得额外的验证,只要成功利用漏洞,就能直接取得用户已授予M365应用程序的所有权限。

这些漏洞若遭到利用,可能产生那些后果?研究人员指出,攻击者可在用户不知情的情况下利用他们的电子邮件帐号寄信、录制声音和视频、拍照,过程中完全无须用户交互。

研究人员将上述发现进行通报,但微软认为这些漏洞的风险并不高,而且有部分应用程序的运作过程里,必须加载未经签署的程序库才能支持插件程序,因此仅对OneNote、Teams进行处理。换言之,其余4个M365应用程序仍曝露相关风险。

热门文章
印度最高法院受理公益诉讼,要求全国禁封“伪装”成社交游戏的赌博平台
游戏风向
斯里兰卡博弈产业大转型,官方:剑指南亚拉斯维加斯
游戏风向
准备好了将你的收益最大化吗?尝试ProPush.me Constructor!
广告营销
密西西比州众议院委员会推进提议增加赌场税的法案
游戏风向
菲律宾博彩技术赛道迎来新变局,B2B 供应模式加速渗透
东南亚资讯
越南在线博彩业政策收紧 催生市场新机遇
东南亚资讯
JILI 宣布与全球板球传奇 AB de Villiers(ABD)达成重磅战略合作
体育游戏
超级PAC筹资4800万美元:体育博彩势力加码
游戏风向
新泽西州7月博彩收入创6.06亿美元新高,颁布禁令
游戏风向
巴西拟将博彩税率提高至24% 税收将用于社保和医疗领域
游戏风向
PropellerAds 分享了新的 iGaming 案例研究:在 3 个月实现 97,674 次安装和 12,701 笔存款
广告营销
巴西颁布新法赋权央行封锁非法博彩账户及 Pix 交易
支付动态
亚洲顶尖游戏供应商多寶游戏 DB GAMING,开创亚洲市场的唯一首选
广告营销
Zenith携手HUIDU,冠名赞助2026年世界杯嘉年华官方巡回活动
线上游戏
2027 Global Game Connect(GGC)斯里兰卡招商全面开启!业务人脉尽在掌握!
灰度头条
首页
游戏
合作
发现
我的