Lỗ hổng bảo mật của macOS thông qua Office, được khắc phục bằng phiên bản mới nhất dành cho macOS 10.15.3

văn phòng cho macOS

Thứ tư vừa rồi, Patrick Wardle đã cảnh báo và chỉ ra một lỗ hổng trong macOS có thể bị truy cập thông qua chương trình Office. Cụ thể, khai thác này được truy cập thông qua các macro của chương trình soạn thảo văn bản. Một macro có thể được định nghĩa là một loạt các lệnh và hướng dẫn được nhóm lại với nhau như cùng một lệnh để hoàn thành một nhiệm vụ một cách tự động. May mắn thay, sự cố đã được vá với phiên bản Office mới nhất dành cho macOS 10.15.3

Patrick Wardle, Kỹ sư bảo mật của Jamf và cựu hacker NSA, người chuyên tìm kiếm và tìm ra các lỗ hổng trong macOS, đã trình bày vào thứ Tư tuần trước tại hội nghị “Mũ đen” và thông qua blog của anh ấy, vì dữ liệu Mac nhạy cảm có thể được truy cập thông qua các macro được thực thi trong Office. Mặc du nó khá khó để thực hiện và thực hiện khai thác này, nó có thể đạt được và một khi nó cho thấy rằng không có gì là bất khả xâm phạm.

Macro Office đã được sử dụng nhiều lần để truy cập vào các lỗ hổng trong máy tính Windows. Mac cũng có thể được phát triển. Bằng cách tạo tệp ở định dạng .slk cũ, Wardle có thể làm cho Office chạy macro mà không cần thông báo cho người dùng. Đã thêm ký tự "$" vào đầu tên tệp. Điều đó cho phép Wardle thoát khỏi hộp cát macOS. Cuối cùng, Wardle đã nén tệp ở định dạng .zip Nó đã làm theo cách này vì macOS không xác minh các loại tệp này với các yêu cầu chứng nhận.

Để tạo sự an tâm cho người dùng, cần phải nhấn mạnh rằng đây là một khai thác khá khó thực hiện và bạn vẫn cần xác thực một số hành động khi đăng nhập. 

Một cách hợp lý Patrick Wardle đã báo cáo vi phạm bảo mật này cho cả Microsoft và Apple. Tuy nhiên, theo như lời của anh, hãng quả táo đã không phản hồi lại anh.


Nội dung bài viết tuân thủ các nguyên tắc của chúng tôi về đạo đức biên tập. Để báo lỗi, hãy nhấp vào đây.

Hãy là người đầu tiên nhận xét

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.