思科旗下威脅情報團隊Talos在macOS版的Microsoft 365辦公室套裝軟體,最近找到8個漏洞,並指出攻擊者若是將惡意程式庫注入應用程式,就有機會觸發這些漏洞,從而取得使用者授予應用程式的權限,例如:存取麥克風、視訊鏡頭、資料夾、螢幕錄製、使用者輸入等資源,一旦攻擊者掌握這些權限,就有可能洩露敏感資訊,甚至提升權限。
此次漏洞揭露涵蓋的Office應用程式,包含Word(CVE-2024-41165)、Excel(CVE-2024-43106)、PowerPoint(CVE-2024-39804)、Outlook(CVE-2024-42220)、OneNote(CVE-2024-41159),以及Teams(CVE-2024-41138、CVE-2024-41145、CVE-2024-42004)。
上述漏洞的CVSS風險評分皆為7.1,研究人員表示,這些漏洞的共通點在於,攻擊者可利用這些漏洞得到應用程式已取得的權限,從而繞過作業系統的安全防護框架Transparency, Consent, and Control(TCC),過程中完全不需向使用者取得額外的驗證,只要成功利用漏洞,就能直接取得使用者已授予M365應用程式的所有權限。
這些漏洞若遭到利用,可能產生那些後果?研究人員指出,攻擊者可在使用者不知情的情況下利用他們的電子郵件帳號寄信、錄製聲音和影片、拍照,過程中完全無須使用者互動。
研究人員將上述發現進行通報,但微軟認為這些漏洞的風險並不高,而且有部分應用程式的運作過程裡,必須載入未經簽署的程式庫才能支援外掛程式,因此僅對OneNote、Teams進行處理。換言之,其餘4個M365應用程式仍曝露相關風險。
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03