出典: Microsoft Careers

Cisco Talos のセキュリティ研究者は、macOS 向けの複数の Microsoft アプリに脆弱性があり、ユーザーのマイクやカメラに不正アクセスされる可能性があると報告しました。

これらの脆弱性は、Outlook、Teams、Excel、OneNote、Word などの一般的なアプリに影響を及ぼし、機密機能にアクセスするためのアプリの権限を管理する macOS の Transparency Consent and Control (TCC) フレームワークを悪用します。

通常、TCCは、アプリがカメラやマイクなどの機密機能にアクセスする前に許可を求めるように設定されています。しかし、この脆弱性により、ハッカーはMicrosoftアプリに既に付与されている権限を利用する悪意のあるコードを侵入させ、通常のセキュリティチェックを回避できるようになります。

これに対し、Microsoftはこれらの脆弱性を「低リスク」に分類しました。これは、エクスプロイトを実行するために署名されていないライブラリを読み込む必要があるためです。これらのライブラリは、ハッカーが署名されていないコードを読み込む必要があり、これは容易ではありません。Microsoftは、Microsoft TeamsとOneNoteの脆弱性について、これらのアプリが特定の権限を処理する方法を変更することで修正しました。しかし、Excel、PowerPoint、Word、Outlookはサードパーティ製プラグインのサポートが必要なため、依然としてリスクにさらされています。

Cisco Talosは、Microsoftがライブラリ検証を無効化した決定に疑問を呈し、ユーザーを不必要なリスクにさらす可能性があると指摘した。また、Appleはセキュリティシステムを改善し、既存の権限を持つアプリに新しいプラグインが追加された場合にユーザーに警告を発するよう提案している。

ユーザーの皆様には、Microsoft アプリケーションを常に最新の状態に保ち、信頼できないプラグインをインストールする際には注意するようお願いいたします。

詳細はこちら。