多款為 macOS 操作系統設計的 Microsoft 生產力應用程式存在安全漏洞,這些漏洞使得駭客能夠竊取敏感數據、記錄用戶在設備上的所有操作、錄音和錄影,甚至進一步提升權限。
根據 Cisco Talos 的網絡安全研究人員報告所述,發現的弱點主要與 macOS 的權限處理方式有關。簡而言之,當應用程式第一次需要訪問某個功能,例如麥克風,將會向用戶請求明確的許可。之後,該訪問權限將保持啟用,直到用戶再次明確拒絕。因此,研究人員得出結論,駭客可以通過尋找已被授予廣泛權限的應用程式,在目標設備上執行惡意操作。
針對這個問題,研究小組已確定影響六款 Microsoft 應用程式的八個漏洞:
– CVE-2024-42220(Outlook)
– CVE-2024-42004(Teams – 工作或學校主應用程式)
– CVE-2024-39804(PowerPoint)
– CVE-2024-41159(OneNote)
– CVE-2024-43106(Excel)
– CVE-2024-41165(Word)
– CVE-2024-41145(Teams – 工作或學校 WebView.app 幫助程式)
– CVE-2024-41138(Teams – 工作或學校 com.microsoft.teams2.modulehost.app)
雖然這些問題看似相當嚴重,Microsoft 卻抱持不同看法。該公司告訴研究人員,存在多種變數,使得利用這些漏洞的可能性極低。因此,該公司沒有計劃修補這些漏洞,並表示,“Microsoft 認為這些問題風險低,并聲稱某些應用程式需要允許加載未簽名的庫來支持插件,因此拒絕修復這些問題。”研究人員在博客中如此指出。
然而,The Register 報導指出,Microsoft 已經更新其 Teams 應用程式及 OneNote,移除了使庫注入成為可能的功能,這正是問題的核心所在。