A vulnerabilidade do macOS através do Office, corrigida com sua versão mais recente para macOS 10.15.3

escritório para macOS

Última quarta-feira, Patrick Wardle avisou e mostrou uma vulnerabilidade no macOS que pode ser acessada por meio do programa Office. Especificamente, este exploit é acessado através das macros do programa de edição de texto. Uma macro pode ser definida como uma série de comandos e instruções que são agrupados como o mesmo comando para concluir uma tarefa automaticamente. Felizmente, o problema já foi corrigido com a versão mais recente do Office para macOS 10.15.3

Patrick Wardle, O engenheiro de segurança de Jamf e ex-hacker da NSA, que se especializou em pesquisar e encontrar vulnerabilidades no macOS, mostrou na última quarta-feira na conferência «Black Hat» e através do seu blog, já que dados confidenciais do Mac podem ser acessados ​​por meio de macros executadas no Office. Apesar é muito difícil de realizar e levar a cabo esta façanha, pode ser alcançado e uma vez que mostra, que não há nada inexpugnável.

As macros do Office foram usadas em várias ocasiões para acessar vulnerabilidades em computadores Windows. Macs também podem ser desenvolvidos. Ao criar um arquivo em um formato .slk antigo, Wardle conseguiu fazer o Office executar macros sem alertar o usuário. Adicionado um caractere "$" ao início do nome do arquivo. Isso permitiu a Wardle escapar da sandbox do macOS. Por fim, Wardle compactou o arquivo no formato .zip Isso foi feito dessa forma porque o macOS não verifica esses tipos de arquivos com os requisitos de certificação.

Para a tranquilidade dos usuários, deve ser enfatizado que é um exploit bastante difícil de executar e que você ainda precisa autenticar algumas das ações no login. 

Logicamente Patrick Wardle relatou esta violação de segurança à Microsoft e à Apple. No entanto, de acordo com suas palavras, a empresa de maçã não respondeu a ele.


O conteúdo do artigo segue nossos princípios de ética editorial. Para relatar um erro, clique Clique aqui.

Seja o primeiro a comentar

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.