最近小程序美工，网络安全公司 Cisco Talos 揭露了微软在 macOS 平台上几款应用程序中存在的八个漏洞。

这些漏洞使得攻击者可以绕过 macOS 的权限管理系统小程序美工，从而获取用户敏感数据或提升权限。简单来说，攻击者如果成功利用这些漏洞，就能获取到这些微软应用程序已经获得的所有权限。

图源备注：图片由AI生成小程序美工，图片授权服务商Midjourney

这几款受影响的应用程序包括 Outlook、Teams、Word、Excel、PowerPoint 和 OneNote 等。黑客可能会通过向这些应用注入恶意库，获取其权限，并利用这些权限提取用户的敏感信息。例如，攻击者可能会悄悄发送邮件、录制音频、拍摄照片甚至录制视频，所有这些操作都在用户毫不知情的情况下完成。

macOS 的透明度、同意和控制（TCC）框架是苹果公司开发的，用于管理应用程序访问敏感用户数据的权限。TCC 以加密数据库的形式记录了用户为每个应用程序授予的权限，确保这些设置在系统中一致执行。与此同时，macOS 还采用了沙盒技术，为应用程序的运行提供额外的安全层，限制其对系统和其他应用的访问。

然而，在线全职美工如果攻击者能够在一个应用程序的运行过程中注入恶意代码，便可以利用该应用程序的所有权限，像 “代理人” 一样执行各种未授权的操作。为了实施这种攻击，攻击者通常需要在目标设备上获得一定的访问权限，然后才能打开更高权限的应用程序，进一步注入恶意库。

微软方面对这些漏洞的评估是 “低风险”，但也已对 OneNote 和 Teams 的相关问题进行了修复。尽管如此小程序美工，专家指出，当前的 macOS 框架对如何安全处理插件仍然存在不确定性。尽管对第三方插件进行公证是一种选择，但这也相对复杂，需要微软或苹果在验证安全性后，对这些模块进行签名。