【CNMO 科技消息】近日，CNMO 从外媒了解到，微软为 macOS 开发的多款应用程序被曝存在多个安全漏洞，这些漏洞允许黑客利用苹果操作系统的权限框架，非法访问用户的摄像头和麦克风。受影响的软件包括 Microsoft Office、Outlook、Teams、OneNote 等。

网络安全组织 Cisco Talos 披露了这些漏洞的详细情况，指出黑客可以通过注入特制的恶意库到 Outlook、Teams、PowerPoint、Excel、Word、OneNote 这六款应用中，绕过 macOS 的权限模型，实现对用户设备的非法控制。

按照苹果在 macOS 上的透明度、同意和控制（TCC）框架，恶意软件需要获得用户对相关权限的明确同意才能访问用户的麦克风和摄像头。然而，某些恶意程序可以使用一种称为库注入（或在 macOS 上称为 dylib 注入）的过程，来获得已授予其他应用程序的权限。

据 Cisco Talos 称，安装了微软应用程序的 macOS 用户可能会受到黑客攻击。这些漏洞使黑客能够通过将库注入到上述应用程序中来录制音频。在列出的应用程序中，只有 Microsoft Excel 没有访问麦克风的权限，而像 Microsoft Teams 这样的应用程序还可以访问设备的摄像头。

网络安全组织表示，它已向微软报告了这些安全漏洞，微软已对两款受影响的应用程序进行了更新以修复这些漏洞。运行最新版本的 Microsoft Teams 和 OneNote 的用户应该不会受到影响，但微软的 Outlook 和 Office 应用程序目前仍受到安全漏洞的影响。

Cisco Talos 表示，微软本不应禁用库验证，因为这会使用户面临不必要的风险，因为它绕过了苹果在操作系统上实施的、旨在通过 TCC 和权限模型保护用户的强化运行时保护措施。