思科在Office for Mac中发现多个安全问题 微软以为都不是事儿并回绝修正

思科网络安全团队 Talos 在 Microsoft Office for Mac 中发现 8 个安全缝隙，进犯者凭借缝隙能够从用户设备录制视频和音频、拜访灵敏数据、记载用户输入的内容以及提高操作权限等。

这些缝隙坐落 Excel、OneNote、Outlook、PowerPoint、Microsoft Teams、Word 中，不过微软现已清晰奉告思科不会修正这些缝隙。

下面是缝隙编号及组件称号：

• CVE-2024-42220 (Outlook)
• CVE-2024-42004 (Teams – work or school) (主程序)
• CVE-2024-39804 (PowerPoint)
• CVE-2024-41159 (OneNote)
• CVE-2024-43106 (Excel)
• CVE-2024-41165 (Word)
• CVE-2024-41145 (Teams – work or school) (WebView.app helper app)
• CVE-2024-41138 (Teams – work or school) (com.microsoft.teams2.modulehost.app)

为什么微软不愿意修正这些缝隙呢？微软安全团队经过剖析后以为这些问题的危险十分低，即应用程序需求答应加载未签名的库来支撑插件，运用难度更大。

苹果的安全模型是根据权限的，依赖于透明度、赞同和操控结构 (即 TCC 结构)，关于娴熟运用 macOS 的用户来说应该比较了解这个结构，即每次进行灵敏操作时体系会弹出提示。

TCC 结构也是被苹果操控的，苹果答应部分开发商挑选他们需求启用的授权，但即便如此在实践调用权限例如进行麦克风录制时，体系也会弹出提示要求用户赞同或回绝。

此外苹果还经过多种方法加强安全战略，例如强化 Runtime，该战略能够阻挠未经苹果授权的软件库运转，也会阻挠进犯者经过受信赖的应用程序履行代码。

Office 的问题在于微软是少量取得苹果授权能够禁用苹果强化 Runtime 的开发商，Office 就能够禁用库验证功用，进犯者能够在某些特定情况下经过组合软件之间的缝隙加载不受信赖的库。

现在的争议在于假如要想经过 Office 建议进犯首要需求搞定 Office 插件，思科安全研究人员以为苹果就不应该敞开第三方开发商能够禁用强化维护而且运转第三方插件，即苹果应该强制对一切库进行验证。

思科也没有供给此类进犯的实践操作事例，这至少能够阐明暂时还没有黑客运用这种缝隙建议进犯。

最终微软尽管说了这个危险很低回绝修正，但其实也更新了 Microsoft Teams 和 OneNote 封堵了经过库注入的危险，但 Office 其他组件并未更新。