近日，CNMO從外媒了解到，微軟為macOS開發(fā)的多款應用程序被曝存在多個安全漏洞，這些漏洞允許黑客利用蘋果操作系統(tǒng)的權(quán)限框架，非法訪問用戶的攝像頭和麥克風。受影響的軟件包括Microsoft Office、Outlook、Teams、OneNote等。

網(wǎng)絡(luò)安全組織Cisco Talos披露了這些漏洞的詳細情況，指出黑客可以通過注入特制的惡意庫到Outlook、Teams、PowerPoint、Excel、Word、OneNote這六款應用中，繞過macOS的權(quán)限模型，實現(xiàn)對用戶設(shè)備的非法控制。

按照蘋果在macOS上的透明度、同意和控制（TCC）框架，惡意軟件需要獲得用戶對相關(guān)權(quán)限的明確同意才能訪問用戶的麥克風和攝像頭。然而，某些惡意程序可以使用一種稱為庫注入（或在macOS上稱為dylib注入）的過程，來獲得已授予其他應用程序的權(quán)限。

據(jù)Cisco Talos稱，安裝了微軟應用程序的macOS用戶可能會受到黑客攻擊。這些漏洞使黑客能夠通過將庫注入到上述應用程序中來錄制音頻。在列出的應用程序中，只有Microsoft Excel沒有訪問麥克風的權(quán)限，而像Microsoft Teams這樣的應用程序還可以訪問設(shè)備的攝像頭。

網(wǎng)絡(luò)安全組織表示，它已向微軟報告了這些安全漏洞，微軟已對兩款受影響的應用程序進行了更新以修復這些漏洞。運行最新版本的Microsoft Teams和OneNote的用戶應該不會受到影響，但微軟的Outlook和Office應用程序目前仍受到安全漏洞的影響。

Cisco Talos表示，微軟本不應禁用庫驗證，因為這會使用戶面臨不必要的風險，因為它繞過了蘋果在操作系統(tǒng)上實施的、旨在通過TCC和權(quán)限模型保護用戶的強化運行時保護措施。