Uživatelé Microsoft 365 na macOS jsou ohroženi hackery, ale Redmond může hrozbu podcenit

Microsoft považoval zranitelnosti za málo rizikové pro ostatní i přes přetrvávající hrozby

Domů » Novinky

Ikona času čtení 2 min. číst

Ikona kalendáře Publikované dne

by Rafly Gilangová 

publikováno dne

Sdílejte tento článek

Čtenáři pomáhají podporovat MSpoweruser. Pokud nakoupíte prostřednictvím našich odkazů, můžeme získat provizi. Ikona popisku

Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Více informací

Klíčové poznámky

  • Osm zranitelností v aplikacích Microsoft 365 na macOS zpochybňuje reputaci zabezpečení společnosti Apple.
  • Tyto chyby by mohly umožnit neoprávněný přístup k citlivým systémovým zdrojům.
  • Microsoft některé problémy opravil, ale jiné ponechal bez řešení, protože je považoval za nízké riziko.
macOS, MS365

Apple má pověst, že vytváří uzavřené, ale bezpečné prostředí operačního systému, a to natolik, že se bezpečnost stala ochranná známka výrobců Apple.

Nedávná zpráva však vypráví jiný příběh: v aplikacích pro produktivitu Microsoft 365 bylo objeveno nejméně osm zranitelností, které by mohly být zneužity k ukradení oprávnění a nároků aplikací.

Společnost Cisco Talos odhalila svá zjištění v poslední zpráva. Firma zabývající se kybernetickou bezpečností se sídlem v Marylandu uvedla, že těchto osm zranitelností zahrnuje vkládání škodlivých knihoven do aplikací jako Microsoft Outlook, Teams, PowerPoint, OneNote, Excel a Word a obcházení modelu oprávnění macOS.

Poté, jakmile budou tyto zranitelnosti vynechány, mohly by špatným aktérům umožnit neoprávněný přístup k citlivým částem systému, jako je kamera, mikrofon a soubory.

I když Microsoft problém v některých aplikacích řešil, považovali zranitelnosti za málo rizikové pro jiné, což vedlo k tomu, že nepoužili úplnou opravu ve všech postižených aplikacích.

„Microsoft považuje tyto problémy za málo rizikové a některé z jejich aplikací, jak tvrdí, potřebují umožnit načítání nepodepsaných knihoven pro podporu zásuvných modulů, a odmítli tyto problémy opravit,“ píše se ve zprávě, ačkoli navzdory tomu tyto chyby představují velké bezpečnostní rizika.

Model zabezpečení společnosti Apple pro macOS je založen na systému oprávnění, který využívá rámec Transparency, Consent and Control (TCC). Tento systém vyžaduje uživatelská oprávnění pro aplikace k přístupu k citlivým zdrojům, jako jsou kontakty, fotografie a mikrofony, na základě „nároků“, které vývojáři pro své aplikace povolí. Po nastavení zůstanou tato oprávnění na svém místě, pokud je uživatel ručně nezmění.

To znamená, že i když je bezpečnostní systém macOS navržen tak, aby chránil vaše osobní údaje tím, že vás požádá o povolení předtím, než k nim aplikace budou mít přístup, může být oslaben, pokud mají určité aplikace zranitelná místa.

V roce 2021 Microsoft objevil zranitelnost macOS, “Shrootless,“ umožňující útočníkům obejít System Integrity Protection (SIP), kterou Apple mezitím opravoval. Chyba ve svém vrcholu umožnila útočníkům obejít bezpečnostní funkci, která omezuje uživatele root v provádění změn, které by mohly ohrozit systém, jako je instalace škodlivého softwaru nebo změna systémových souborů.

Rafly Gilangová

Rafly Gilangová Štít

Technický zpravodaj

Rafly je reportér s dlouholetými novinářskými zkušenostmi v oblasti technologií, obchodu, sociálních věcí a kultury. Aktuálně hlásí novinky o produktech, technologiích a AI souvisejících s Microsoftem na MSPowerUser. Máte tip? Pošlete to na [chráněno e-mailem]

Uživatelské fórum

0 zprávy