El Pasado miércoles, Patrick Wardle เตือนและแสดงช่องโหว่ใน macOS ที่สามารถเข้าถึงได้ผ่านโปรแกรม Office โดยเฉพาะการเข้าถึงช่องโหว่นี้ ผ่านมาโครของโปรแกรมแก้ไขข้อความ. แมโครสามารถกำหนดเป็นชุดคำสั่งและคำสั่งที่รวมกลุ่มกันเป็นคำสั่งเดียวกันเพื่อทำงานให้เสร็จโดยอัตโนมัติ โชคดีที่ปัญหาได้รับการแก้ไขแล้วด้วย Office สำหรับ macOS 10.15.3 เวอร์ชันล่าสุด
แพทริควอร์เดิล วิศวกรรักษาความปลอดภัยของ Jamf และอดีตแฮ็กเกอร์ NSA ซึ่งเชี่ยวชาญในการค้นหาและค้นหาช่องโหว่ใน macOS แสดงให้เห็นเมื่อวันพุธที่ผ่านมาในการประชุม“ Black Hat” และ ผ่านบล็อกของคุณเนื่องจากข้อมูล Mac ที่ละเอียดอ่อนสามารถเข้าถึงได้ผ่านมาโครที่ดำเนินการใน Office แม้ว่า มันค่อนข้างยากที่จะแสดง และดำเนินการหาประโยชน์นี้มันสามารถทำได้และเมื่อมันแสดงให้เห็นว่าไม่มีสิ่งใดที่มั่นคง
มีการใช้มาโคร Office หลายครั้งเพื่อเข้าถึงช่องโหว่ในคอมพิวเตอร์ Windows Macs ยังสามารถพัฒนาได้ การสร้างไฟล์ในรูปแบบ. slk แบบเก่าทำให้ Wardle สามารถทำให้ Office เรียกใช้แมโครได้โดยไม่ต้องแจ้งเตือนผู้ใช้ เพิ่มอักขระ "$" ที่จุดเริ่มต้นของชื่อไฟล์ นั่นทำให้ Wardle หนีแซนด์บ็อกซ์ของ macOS. สุดท้าย Wardle บีบอัดไฟล์ในรูปแบบ. zip ทำได้ด้วยวิธีนี้เนื่องจาก macOS ไม่ตรวจสอบไฟล์ประเภทเหล่านี้ด้วยข้อกำหนดการรับรอง
เพื่อความสบายใจของผู้ใช้จะต้องเน้นย้ำว่าเป็นการใช้ประโยชน์ที่ค่อนข้างยากในการดำเนินการและสิ่งนั้น คุณยังต้องตรวจสอบสิทธิ์บางอย่างในการเข้าสู่ระบบ
อย่างมีเหตุผล แพทริก วาร์เดิล รายงานการละเมิดความปลอดภัยนี้กับทั้ง Microsoft และ Apple. อย่างไรก็ตามตามคำพูดของเขา บริษัท apple ไม่ได้ตอบสนองเขา