macOS 上的 Microsoft 365 用户面临黑客威胁，但雷德蒙德可能低估了威胁

苹果以构建封闭但安全的操作系统环境而闻名，因此安全性已经成为 苹果制造商的商标.

但是，最近的一份报告讲述了一个不同的故事：在 Microsoft 365 生产力应用程序中发现了至少八个漏洞，这些漏洞可被利用来劫持应用程序权限和授权。

Cisco Talos 已披露其发现 最近的一份报告这家位于马里兰州的网络安全公司表示，这八个漏洞涉及将恶意库注入 Microsoft Outlook、Teams、PowerPoint、OneNote、Excel 和 Word 等应用程序，并绕过 macOS 的权限模型。

一旦绕过这些漏洞，恶意行为者就可能未经授权访问系统的敏感部分，如摄像头、麦克风和文件。

虽然微软确实在某些应用程序中解决了该问题，但他们认为该漏洞对其他应用程序的风险较低，因此他们没有对所有受影响的应用程序进行全面修复。

报告中写道：“微软认为这些问题风险较低，并声称他们的一些应用程序需要允许加载未签名的库来支持插件，因此拒绝修复这些问题。”尽管如此，这些缺陷确实存在很大的安全风险。

Apple 的 macOS 安全模型基于使用透明度、同意和控制 (TCC) 框架的权限系统。该系统要求根据开发人员为其应用启用的“权利”，获得用户权限才能让应用访问联系人、照片和麦克风等敏感资源。设置后，这些权限将一直有效，除非用户手动更改。

这意味着，尽管 macOS 的安全系统旨在通过在应用程序访问之前征求您的许可来保护您的个人信息，但如果某些应用程序存在漏洞，其安全系统可能会被削弱。

早在 2021 年，微软就发现了 macOS 漏洞，“无根”，允许攻击者绕过系统完整性保护 (SIP)，而苹果已经修补了该保护。在最严重的情况下，该漏洞允许攻击者绕过限制 root 用户进行可能危害系统的更改（例如安装恶意软件或更改系统文件）的安全功能。