最近，網絡安全公司 Cisco Talos 揭露了微軟在 macOS 平臺上幾款應用程序中存在的八個漏洞。

　　這些漏洞使得攻擊者可以繞過 macOS 的權限管理系統，從而獲取用戶敏感數據或提升權限。簡單來說，攻擊者如果成功利用這些漏洞，就能獲取到這些微軟應用程序已經獲得的所有權限。

　　這幾款受影響的應用程序包括 Outlook、Teams、Word、Excel、PowerPoint 和 OneNote 等。黑客可能會通過向這些應用注入惡意庫，獲取其權限，并利用這些權限提取用戶的敏感信息。例如，攻擊者可能會悄悄發送郵件、錄制音頻、拍攝照片甚至錄制視頻，所有這些操作都在用戶毫不知情的情況下完成。

　　macOS 的透明度、同意和控制(TCC)框架是蘋果公司開發的，用于管理應用程序訪問敏感用戶數據的權限。TCC 以加密數據庫的形式記錄了用戶為每個應用程序授予的權限，確保這些設置在系統中一致執行。與此同時，macOS 還采用了沙盒技術，為應用程序的運行提供額外的安全層，限制其對系統和其他應用的訪問。

　　然而，如果攻擊者能夠在一個應用程序的運行過程中注入惡意代碼，便可以利用該應用程序的所有權限，像 “代理人” 一樣執行各種未授權的操作。為了實施這種攻擊，攻擊者通常需要在目標設備上獲得一定的訪問權限，然后才能打開更高權限的應用程序，進一步注入惡意庫。

　　微軟方面對這些漏洞的評估是 “低風險”，但也已對 OneNote 和 Teams 的相關問題進行了修復。盡管如此，專家指出，當前的 macOS 框架對如何安全處理插件仍然存在不確定性。盡管對第三方插件進行公證是一種選擇，但這也相對復雜，需要微軟或蘋果在驗證安全性后，對這些模塊進行簽名。