近日，网络安全公司Cisco Talos发现，macOS版微软365应用存在八个潜在的漏洞。黑客能够利用这些漏洞绕过macOS的权限模型，无需用户额外验证即可在现有应用权限下执行恶意操作。具体而言，黑客可以在未经用户许可的情况下发送电子邮件、录制音频、拍照或录像。

这些漏洞是基于代码注入技术，即恶意代码被插入到合法进程中以访问受保护的资源。苹果的macOS系统本身就具备“强化运行时”等安全功能来防御代码注入。然而，开发人员可以通过设置“com.apple.security.cs.disable-library-validation”权限为true来绕过此功能。

Talos已将这些漏洞通报给了微软团队，并得到回应称这些漏洞风险较低。由于微软的macOS应用程序需要加载未签名的库以支持插件功能，因此无法修复这些漏洞。不过微软已经对以下应用进行了修复：

- 微软Teams（工作或学校）应用

- 微软Teams（工作或学校）网页版

- 微软Teams（工作或学校）桌面版

- 微软OneNote

尽管如此，仍有四个应用程序存在漏洞：

- 微软Excel

- 微软Outlook

- 微软PowerPoint

- 微软Word