苹果 macOS 版微软 365 应用存漏洞 黑客可绕过权限执行恶意操作
2024-08-20 14:59:55 |
|
956
近日,据外媒报道,网络安全公司 Cisco Talos 最近发现,macOS 版微软 365 应用存在八个漏洞。黑客可以利用这些漏洞绕过 macOS 的权限模型,无需用户额外验证,即可利用现有应用权限执行恶意操作。简单来说,黑客可以在未经用户许可的情况下,发送电子邮件、录制音频、拍照或录像。
这些漏洞基于代码注入技术,即恶意代码被插入到合法进程中,从而访问受保护的资源。苹果的 macOS 系统本身就具备“强化运行时(Hardened Runtime)”等安全功能来防御代码注入。该功能会阻止应用程序加载未经苹果签名或与主应用程序团队 ID 不匹配的框架、插件或库。然而,开发人员可以通过设置“com.apple.security.cs.disable-library-validation”权限为 true 来绕过此功能。由于微软的 macOS 应用启用了此设置,从而导致了这 8 个新漏洞的出现。
Talos 将这些漏洞通报给了微软团队,微软回应称这些漏洞风险较低。由于微软这些应用程序需要允许加载未签名的库来支持插件功能,因此无法修复这些漏洞。
特别提醒:本网信息来自于互联网,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字、图片等内容的真实性、完整性、及时性本站不作任何保证或承诺,请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时发送相关信息至bireading@163.com,本站将会在48小时内处理完毕。
