Microsoft Office reißt Sicherheitslücke in macOS - nur zwei Programme gepatcht
Word, Outlook, PowerPoint, OneNote, Excel, Teams: Problematischer Code in den macOS-Versionen konnte laut Cisco Talos Apples Sicherheitsmodell kompromittieren.
IT-Security-Forscher von Cisco Talos haben problematische Sicherheitslücken in insgesamt sechs macOS-Versionen von Microsoft-Programmen entdeckt, die als Teil des Office-Pakets breite Verwendung finden. Mit den Bugs ist es möglich, die von Apple implementierte Systemsicherheit zu umgehen, schreiben die Experten in ihrem Advisory. Betroffen sind Word, Outlook, PowerPoint, OneNote, Excel und das auch einzeln vertriebene Kommunikationsprogramm Teams.
Nur Fixes für zwei Apps vorhanden
Insgesamt habe man acht Angriffspunkte entdeckt, über die es möglich wäre, bösartige Bibliotheken in Microsoft-Programme zu injizieren, die dann deren vom Nutzer erteilte Rechte missbrauchen können – samt der von Apple zugewiesenen Entitlements, mit denen Systembereiche eigentlich geschützt werden. "Diese Berechtigungen regeln, ob eine App auf Ressourcen wie Mikrofon, Kamera, Ordner, Bildschirmaufzeichnung, Benutzereingaben und mehr zugreifen kann. Wenn ein Angreifer also Zugriff auf sie erhält, lassen sich dadurch möglicherweise sensible Informationen preisgeben." Außerdem drohe schlimmstenfalls eine Rechteausweitung.
Sie lesen die Mac & i?
Nehmen Sie an unserer Umfrage teil, was Ihnen gefällt und was nicht, welche Themen Sie sich wünschen, und was Sie von den Apple-Neuheiten des Sommers halten.
Die Umfrage ist erreichbar über die Seite 3 unten im aktuellen Heft 4/2024 sowie online.
Microsoft soll bislang nur zwei der sechs Programme mit Updates versehen haben, die insgesamt vier von acht aufgefundenen Lücken stopfen – in OneNote sowie Teams. "Microsoft stuft diese Probleme als geringes Risiko ein und meint, dass einige seiner Anwendungen das Laden von unsignierten Bibliotheken erlauben müssten, um [bestehende] Plug-ins zu unterstützen." Deshalb habe das Unternehmen abgelehnt, die von Cisco Talos gemeldeten Probleme in Word, Outlook, PowerPoint und Excel zu beheben. OneNote und Teams verwenden neueren Code, was den Fix offenbar vereinfacht hat, zudem besteht wohl keine Notwendigkeit, unsignierte Bibliotheken zu akzeptieren.
Fehlende Validierung von Bibliotheken
macOS setzt über sein "Transparency, Consent and Control"-System (TCC) normalerweise systemweit durch, dass Nutzer Zugriffe auf privatsphärenrelevante Bereiche genehmigen müssen. Dazu tauchen dann "Permission Pop-ups" auf. Die Genehmigung (oder das Verbot) werden dann in der TCC-Datenbank vermerkt. Gleichzeitig ist in macOS eigentlich auch standardmäßig verboten, Bibliotheken in bestehende Programme zu injizieren. Genehmigt sind normalerweise nur die von Apple sowie solche vom Entwickler selbst. Microsoft hat nun allerdings dieses Feature – wohl zum Import von Plug-ins – mittels Entitlement deaktiviert.
Warum Microsoft darauf besteht, dieses beizubehalten, bleibt im Dunklen: Laut Cisco Talos gibt es solche Programme aktuell gar nicht, stattdessen nutzt Microsoft weniger problematische "Office add-ins", die Web-basiert sind. "Wenn dieses Verständnis richtig ist, wirft es Fragen über die Notwendigkeit der Deaktivierung der Bibliotheksvalidierung auf, insbesondere wenn keine zusätzlichen Bibliotheken geladen werden sollen. Durch die Verwendung dieser Berechtigung umgeht Microsoft die von der gehärteten Laufzeitumgebung gebotenen Sicherheitsvorkehrungen und setzt seine Benutzer möglicherweise unnötigen Risiken aus", schreiben die Forscher.
Anzahl der gepatchten Lücken präzisiert.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)