思科旗下威胁情报团队Talos在macOS版的Microsoft 365办公室套装软件,最近找到8个漏洞,并指出攻击者若是将恶意程序库注入应用程序,就有机会触发这些漏洞,从而取得用户授予应用程序的权限,例如:存取麦克风、视讯镜头、文件夹、屏幕录制、用户输入等资源,一旦攻击者掌握这些权限,就有可能泄露敏感信息,甚至提升权限。
研究人员表示,攻击者可利用这些漏洞得到应用程序已取得的权限,从而绕过操作系统的安全防护框架Transparency, Consent, and Control(TCC),过程中完全不需向使用者取得额外的验证,只要成功利用漏洞,就能直接取得用户已授予M365应用程序的所有权限。
这些漏洞若遭到利用,可能产生那些后果?研究人员指出,攻击者可在用户不知情的情况下利用他们的电子邮件帐号寄信、录制声音和视频、拍照,过程中完全无须用户交互。
其他漏洞与修补
◆思科发布NX-OS更新,修补DHCPv6高风险漏洞
◆日立修补SCADA电力系统重大漏洞
近期资安日报
【8月29日】破坏EDR系统运作,恶意驱动程序PoorTry出现新手法
【8月28日】Versa Director零时差漏洞成中国黑客用来入侵ISP的管道
【8月27日】WordPress网站加速插件LiteSpeed Cache漏洞已遭利用



2024-08-30
