登录

会员权益

获取需求

查看名片

专属客服

尊贵标识

VIP低至1.5U/天

macOS版微软M365应用程序存在共通漏洞,攻击者有机会借此绕过系统权限

分享

支付動態

2024-08-27

思科近期揭露macOS版Microsoft 365办公室软件的高风险漏洞,并指出此套装软件大部分的应用程序都曝险,一旦攻击者触发漏洞,就有机会得到用户授予应用程序的权限

思科旗下威胁情报团队Talos在macOS版的Microsoft 365办公室套装软件,最近找到8个漏洞,并指出攻击者若是将恶意程序库注入应用程序,就有机会触发这些漏洞,从而取得用户授予应用程序的权限,例如:存取麦克风、视讯镜头、文件夹、屏幕录制、用户输入等资源,一旦攻击者掌握这些权限,就有可能泄露敏感信息,甚至提升权限。

此次漏洞揭露涵盖的Office应用程序,包含Word(CVE-2024-41165)、Excel(CVE-2024-43106)、PowerPoint(CVE-2024-39804)、Outlook(CVE-2024-42220)、OneNote(CVE-2024-41159),以及Teams(CVE-2024-41138、CVE-2024-41145、CVE-2024-42004)。

上述漏洞的CVSS风险评分皆为7.1,研究人员表示,攻击者可利用这些漏洞得到应用程序已取得的权限,从而绕过操作系统的安全防护框架Transparency, Consent, and Control(TCC),过程中完全不需向使用者取得额外的验证,只要成功利用漏洞,就能直接取得用户已授予M365应用程序的所有权限。

这些漏洞若遭到利用,可能产生那些后果?研究人员指出,攻击者可在用户不知情的情况下利用他们的电子邮件帐号寄信、录制声音和视频、拍照,过程中完全无须用户交互。

研究人员将上述发现进行通报,但微软认为这些漏洞的风险并不高,而且有部分应用程序的运作过程里,必须加载未经签署的程序库才能支持插件程序,因此仅对OneNote、Teams进行处理。换言之,其余4个M365应用程序仍曝露相关风险。

免责声明:
详情
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu