Несмотря на предупреждения, Microsoft утверждает, что угрозы не столь серьезны
Ряд приложений Microsoft для повышения производительности, созданных для операционной системы macOS, уязвимы и позволяют хакерам красть конфиденциальные данные, записывать все, что пользователь делает на устройстве, записывать аудио и видео, а также еще больше повышать привилегии.
Об этом говорится в новом отчете исследователей кибербезопасности из Cisco Talos, которые заявили, что обнаруженные ими уязвимости связаны со способом обработки разрешений в macOS. Проще говоря, когда приложению впервые требуется доступ, например, к микрофону, оно запросит у пользователя явное разрешение. После этого доступ остается включенным до тех пор, пока пользователь снова явно не откажет в нем.
Таким образом, исследователи пришли к выводу, что, охотясь за приложениями, которым уже предоставлены расширенные разрешения, злоумышленники могут выполнять вредоносные операции на целевой конечной точке.
Недостатки приложений Microsoft
По словам команды, с этой целью они выявили восемь уязвимостей, затрагивающих шесть приложений Microsoft:
CVE-2024-42220 (Outlook)
CVE-2024-42004 (Команды – работа или учеба) (основное приложение)
CVE-2024-39804 (PowerPoint)
CVE-2024-41159 (OneNote)
CVE-2024-43106 (Excel)
CVE-2024-41165 (Word)
CVE-2024-41145 (Команды – работа или учеба) (вспомогательное приложение WebView.app)
CVE-2024-41138 (Teams – работа или учеба) (com.microsoft.teams2.modulehost.app)
Хотя это может показаться серьезной проблемой, у Microsoft другое впечатление. Компания сообщила исследователям, что существует слишком много переменных, что делает эксплуатацию этих недостатков крайне маловероятной.
В результате компания не планирует исправлять уязвимости, заявив: «Microsoft считает, что эти проблемы имеют низкий уровень риска, и некоторые из ее приложений, по их словам, должны разрешать загрузку неподписанных библиотек для поддержки плагинов, и отказалась исправлять эти проблемы», — сообщили исследователи в своем блоге.
Однако The Register сообщил, что Microsoft обновила свои приложения Teams и OneNote, чтобы удалить функцию, допускающую внедрение библиотек, что и было причиной проблемы.
Сбой в работе банков и аэропортов. Проблема в Microsoft
Этот день для многих начался с глобального сбоя IT-систем. Не работали ни аэропорты, ни авиакомпании, наблюдались ...
Больше на 每天都有技术
Subscribe to get the latest posts sent to your email.