微软macOS应用存在危险漏洞 但微软不这么看
思科 Talos 表示,微软 macOS 应用中的八个漏洞可能被恶意人员滥用,从用户设备录制视频和声音、访问敏感数据、记录用户输入以及提升权限。这些漏洞存在于 Excel、OneNote、Outlook、PowerPoint、Teams 和 Word 中,但微软告诉 Talos 不会修复这些漏洞。所有八个漏洞如下所示:
CVE-2024-42220 (Outlook)
CVE-2024-42004 (Teams – work or school) (main app)
CVE-2024-39804 (PowerPoint)
CVE-2024-41159 (OneNote)
CVE-2024-43106 (Excel)
CVE-2024-41165 (Word)
CVE-2024-41145 (Teams – work or school) (WebView.app helper app)
CVE-2024-41138 (Teams – work or school) (com.microsoft.teams2.modulehost.app)
Talos 高级安全研究工程师弗朗西斯科·本韦努托表示:“微软认为这些问题风险较低,他们声称他们的一些应用需要允许加载未签名的库来支持插件,因此拒绝修复这些问题。”
但苹果的安全模型是基于权限的。例如,黑客可以利用 Word,并将一些代码注入 Word 的进程,他们就能够访问受保护的资源。
—— The Register
发表回复