Приложения Microsoft на MacOS, по-видимому, имеют серьезные уязвимости безопасности

Несмотря на предупреждения, Microsoft утверждает, что угрозы не столь серьезны

Ряд приложений Microsoft для повышения производительности, созданных для операционной системы macOS, уязвимы и позволяют хакерам красть конфиденциальные данные, записывать все, что пользователь делает на устройстве, записывать аудио и видео, а также еще больше повышать привилегии.

Об этом говорится в новом отчете исследователей кибербезопасности из Cisco Talos, которые заявили, что обнаруженные ими уязвимости связаны со способом обработки разрешений в macOS. Проще говоря, когда приложению впервые требуется доступ, например, к микрофону, оно запросит у пользователя явное разрешение. После этого доступ остается включенным до тех пор, пока пользователь снова явно не откажет в нем.

Таким образом, исследователи пришли к выводу, что, охотясь за приложениями, которым уже предоставлены расширенные разрешения, злоумышленники могут выполнять вредоносные операции на целевой конечной точке.

Недостатки приложений Microsoft

По словам команды, с этой целью они выявили восемь уязвимостей, затрагивающих шесть приложений Microsoft:

CVE-2024-42220 (Outlook)
CVE-2024-42004 (Команды – работа или учеба) (основное приложение)
CVE-2024-39804 (PowerPoint)
CVE-2024-41159 (OneNote)
CVE-2024-43106 (Excel)
CVE-2024-41165 (Word)
CVE-2024-41145 (Команды – работа или учеба) (вспомогательное приложение WebView.app)
CVE-2024-41138 (Teams – работа или учеба) (com.microsoft.teams2.modulehost.app)

Хотя это может показаться серьезной проблемой, у Microsoft другое впечатление. Компания сообщила исследователям, что существует слишком много переменных, что делает эксплуатацию этих недостатков крайне маловероятной.

В результате компания не планирует исправлять уязвимости, заявив: «Microsoft считает, что эти проблемы имеют низкий уровень риска, и некоторые из ее приложений, по их словам, должны разрешать загрузку неподписанных библиотек для поддержки плагинов, и отказалась исправлять эти проблемы», — сообщили исследователи в своем блоге.

Однако The Register сообщил, что Microsoft обновила свои приложения Teams и OneNote, чтобы удалить функцию, допускающую внедрение библиотек, что и было причиной проблемы.