macOS 上的 Microsoft 365 用戶面臨駭客風險，但雷德蒙德可能低估了威脅

蘋果以建立封閉但安全的作業系統環境而聞名，以至於安全已成為 蘋果製造商的商標.

但是，最近的一份報告講述了一個不同的故事：在 Microsoft 365 生產力應用程式中至少發現了 XNUMX 個漏洞，這些漏洞可被利用來劫持應用程式權限和權利。

思科 Talos 發現了其發現 最近的一份報告。這家位於馬裡蘭州的網路安全公司表示，這八個漏洞涉及將惡意庫注入到 Microsoft Outlook、Teams、PowerPoint、OneNote、Excel 和 Word 等應用程式中，並繞過 macOS 的權限模型。

然後，一旦被繞過，這些漏洞可能會讓不良行為者未經授權存取系統的敏感部分，例如攝影機、麥克風和檔案。

雖然微軟確實在某些應用程式中解決了這個問題，但他們認為這些漏洞對其他應用程式來說風險較低，這導致他們沒有在所有受影響的應用程式中應用全面修復。

報告中寫道：「微軟認為這些問題風險較低，他們聲稱，他們的一些應用程式需要允許加載未簽名的庫來支援插件，並且拒絕修復這些問題。」儘管如此，這些缺陷確實存在很大的問題。

Apple 的 macOS 安全模型是基於使用透明、同意和控制 (TCC) 框架的權限系統。該系統根據開發人員為其應用程式啟用的“權利”，要求用戶授予應用程式存取聯絡人、照片和麥克風等敏感資源的權限。一旦設置，這些權限將保持不變，除非使用者手動更改。

這仍然意味著，儘管 macOS 的安全系統旨在透過在應用程式存取之前徵求您的許可來保護您的個人訊息，但如果某些應用程式存在漏洞，該系統的安全系統可能會被削弱。

早在 2021 年，微軟就發現了一個 macOS 漏洞，「無根”，允許攻擊者繞過系統完整性保護（SIP），蘋果已經修補了該保護。在高峰期，該缺陷使攻擊者能夠繞過限制根用戶進行可能危害系統的更改的安全功能，例如安裝惡意軟體或更改系統檔案。