黑客發現微軟Office安全漏洞 可控制蘋果macOS
據外媒 9To5Mac 報道,前 NSA 黑客 Patrick Wardle 在 Microsoft Office 的 Mac 版本中發現了一個安全漏洞。該漏洞可能導致黑客控制整個 Mac。Wardle 可以只使用包含惡意代碼的簡單 Office 文檔來訪問計算機。
報告指出,漏洞基于 “宏”功能。該功能允許用戶使用自定義命令和說明自動執行 Microsoft Office 應用中的一些任務。這些攻擊在 Windows 上很常見,但 Wardle 證明在 macOS 上也可能發生類似的事情。
雖然類似攻擊需要用戶交互后才能起作用,但黑客警告稱部分不清楚風險的用戶可能仍允許這樣操作。
為了加入惡意代碼,黑客使用了他在 Microsoft Office 應用中發現的各種漏洞和錯誤。他創建了 SLK 格式的文件來繞過 macOS 安全系統。由于 Microsoft Office 使用這一特定格式,即使用戶從未知來源下載了文件,macOS 也不會詢問用戶是否真的要打開文件。
通過創建以 “ $”字符開頭的文件,惡意代碼可以破壞 Microsoft Office 沙箱來訪問操作系統的其它任何部分。黑客可以未經用戶授權通過 Microsoft Excel 打開 Calculator 應用來演示惡意代碼,但它也可以用于其它用途。
這一攻擊危害較小的原因在于,Microsoft Office 應用會詢問用戶是否確實要啟用宏功能。但正如 Wardle 所說,有些用戶并沒有閱讀系統警告,他們點擊選項可能只是為了跳過對話框。
IT之家了解到,目前,這些安全漏洞已通過最新版本的 Microsoft Office for Mac 和 macOS Catalina 10.15.3 修復。但它仍會影響不定期安裝軟件更新的用戶。微軟表示,公司正在與蘋果進行討論,來識別和解決 Wardle 發現的類似問題。【責任編輯/鄒琳】
來源:IT之家
IT時代網(關注微信公眾號ITtime2000,定時推送,互動有福利驚喜)所有原創文章版權所有,未經授權,轉載必究。
創客100創投基金成立于2015年,直通硅谷,專注于TMT領域早期項目投資。LP均來自政府、互聯網IT、傳媒知名企業和個人。創客100創投基金對IT、通信、互聯網、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創客100基金最顯著的特點。
熱門文章
精彩評論
小何華為現在牛的不只是設備商了,,華為的手機現在也是全球銷量不錯,國內也算是老大了,之前用小米,,現在都改華為了。。產品確實不錯。- 小何三星手機在中國還有市場嗎?看看現在滿大街的vivo和oppo ,,華為,,小米線下店,,就是知道三星的市場基本沒有了。。
- 小何滴滴打車現在也沒有之前那么火了,,補貼也少了。。
- 小何今日頭條要把騰訊的地方各頻道給霸占了。。