Passer au contenu

Des failles de sécurité dans les logiciels de Microsoft fragilisent les Mac

Plusieurs logiciels Microsoft de premier plan, comme Outlook et Teams, posent des problèmes de sécurité sur macOS : un pirate peut accéder au micro et à la webcam du Mac, mais aussi à des dossiers et à l’enregistrement de l’écran. L’éditeur a corrigé certaines vulnérabilités, mais pas toutes.

Outlook, Teams, PowerPoint, OneNote, Excel ou encore Word : un utilisateur Mac a toutes les chances d’utiliser un ou plusieurs de ces logiciels de Microsoft tous les jours. Ils ne sont malheureusement pas dénués de vulnérabilité, comme l’a découvert Cisco Talos.

Microsoft corrige des failles, mais pas toutes

D’après ces chercheurs en sécurité, un pirate pourrait accéder à des ressources particulièrement sensibles du Mac comme le micro, la caméra, les dossiers, ils auraient aussi la possibilité d’enregistrer l’écran, sans évidemment que l’utilisateur soit informé. Toutes les apps sont en mesure d’enregistrer de l’audio, à l’exception d’Excel.

L’attaque est basée sur l’injection de bibliothèques malveillantes dans les applications, afin de récupérer et d’exploiter les permissions accordées aux logiciels. « Nous avons identifié huit vulnérabilités dans plusieurs applications Microsoft pour macOS, qui permettent à un attaquant de contourner le modèle d’autorisation du système d’exploitation en utilisant les autorisations existantes des applications sans demander de vérification supplémentaire à l’utilisateur », expliquent les chercheurs.

macOS repose sur le framework TCC (Transparence, Consentement et Contrôle) qui nécessite l’autorisation explicite de l’utilisateur pour accéder aux données sensibles. Un modèle efficace, mais pas infaillible : si un logiciel ayant des permissions élevées est compromis, il peut être exploité pour accéder à ces permissions sans interaction de l’utilisateur.

Mis au courant par Cisco Talos, Microsoft n’est évidemment pas resté les bras ballants et a mis à jour OneNote et Teams pour boucher la vulnérabilité. En revanche, Excel, PowerPoint, Word et Outlook sont toujours vulnérables. L’éditeur estime que ces failles sont de risque faible, car il faut injecter des bibliothèques non signées pour le support des plugins.

Entre autres recommandations, les chercheurs suggèrent à Apple de notarier les plugins tiers après vérification de leur sécurité, afin de garantir qu’ils ne contiennent pas de composants dangereux.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Cisco Talos

Mickaël Bazoge
Sur le même sujet
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Les dernières actualités
Polaris Dawn Spacex Lancement En Direct
Polaris Dawn en direct : suivez la première sortie spatiale privée de l’histoire
Xiaomi 14
L’excellent Xiaomi 14 s’affiche bien à ce prix de FOLIE, ce n’est pas une entourloupe  
Iphone 16 Apple 2024 Coloris
iPhone 16 : dans quel pays est-il le moins cher ?
Iphone 16 Usb C
L’iPhone 16 pourrait enfin avoir une charge digne de ce nom, et Apple n’en a même pas parlé
Openai Ia Chatgpt 2024
OpenAI a besoin de bien plus d’argent que prévu. Les banques à la rescousse ?
Paiement Carte Bancaire Nfc
Une cyberattaque a compromis près de 2 millions de cartes de crédit
Samsung Galaxy A15 (4)
Galaxy A16 5G : une première image du futur smartphone pas cher de Samsung
Signature Pdf
Une faille d’Adobe Acrobat Reader met votre PC en danger
Top téléchargements