Исследователи безопасности из Cisco Talos сообщили про найденную уязвимость в приложениях Microsoft для macOS.
macOS использует систему контроля доступа к файлам под названием Transparency, Consent, and Control (TCC), которая регулирует разрешения приложений на доступ к функциям, таким как службы геолокации, камера, микрофон, фотографии и другие файлы. Каждому приложению необходимо получить разрешение от TCC на доступ к этим ресурсам. Программы, не обладающие такими правами, не смогут использовать камеру и другие компоненты системы. Однако существовал эксплойт, который позволял вредоносному ПО использовать разрешения, выданные приложениям Microsoft.
Используя восемь уязвимостей, злоумышленники могут обойти это ограничение. Например, хакер может разработать вредоносное ПО, которое будет записывать звук с микрофона или делать фотографии без какого-либо участия пользователя. Большинство приложений, за исключением Excel, способны записывать аудио, а некоторые могут даже получить доступ к камере.
Microsoft оценивает этот эксплойт как «низкорисковый», так как его реализация зависит от загрузки неподписанных библиотек для работы с внешними плагинами. Компания уже выпустила обновления для некоторых своих приложений, но Excel, PowerPoint, Word и Outlook остаются уязвимыми.
Эксперты надеятся, что Apple внесет изменения в ОС, чтобы та запрашивала дополнительный доступ у пользователей при загрузке сторонних плагинов в приложениях, которые уже получили разрешения. [9to5]