微软 Mac App 漏洞让骇客可窃听用户安全研究人员发现 Microsoft 旗下 macOS 应用程式存在严重漏洞，可让骇客未经授权监视 Mac 用户

Tue, 20 Aug 2024 19:53:10 GMT

微软 Mac App 漏洞让骇客可窃听用户

安全研究人员发现 Microsoft 旗下 macOS 应用程式存在严重漏洞，可让骇客未经授权监视 Mac 用户。Cisco Talos 安全研究团队于网志中详细说明了该漏洞如何被利用，以及 Microsoft 目前的修复进度。

骇客可透过微软 App 存取 Mac 用户相机麦克风

专门研究恶意软体和系统防护的 Cisco Talos 网路安全团队揭露了 Microsoft Outlook 和 Teams 等应用程式的漏洞细节。骇客可借由注入恶意程式库，取得这些应用程式的权限，进而在用户不知情的情况下存取 Mac 的麦克风和相机。

Apple 的 macOS系统使用名为透明度、同意和控制（Transparency Consent and Control，TCC）的框架来管理应用程式权限，包括位置服务、相机、麦克风、照片库等存取权限。

每个应用程式都需要具备特定权限才能向 TCC 请求授权。没有这些权限的应用程式甚至无法请求授权，自然也无法存取相机等硬体。然而，这个漏洞允许恶意软体利用已授予 Microsoft 应用程式的权限。

Microsoft 回应漏洞风险

根据 Cisco Talos 的说法，Microsoft 认为这个漏洞「风险较低」，因为它需要载入未签名的程式库来支援第三方外挂程式。

在漏洞被报告后，Microsoft 已更新了 macOS 版 Microsoft Teams 和 OneNote 应用程式，改变了这些应用程式处理程式库验证权限的方式。然而，Excel、PowerPoint、Word 和 Outlook 仍然存在漏洞。

研究人员质疑 Microsoft 为何需要停用程式库验证，特别是在不预期载入额外程式库的情况下。他们指出：「使用这种权限，Microsoft 绕过了强化执行环境所提供的安全保护，可能使用户面临不必要的风险。」

Apple 系统安全性改进建议

同时，研究人员也指出 Apple 可以对 TCC 进行改进以提高系统安全性。他们建议系统应在已授权的应用程式载入第三方外挂程式时，向用户发出提示。

这次的漏洞发现凸显了即使是知名科技公司的应用程式，也可能存在安全隐患。用户应保持警惕，及时更新应用程式，以确保自身的资讯安全。

🗒 标签: #微软 #窃听
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

窃听 | Yummy 😋

微软 Mac App 漏洞让骇客可窃听用户安全研究人员发现 Microsoft 旗下 macOS 应用程式存在严重漏洞，可让骇客未经授权监视 Mac 用户