微软多款macOS应用曝出新漏洞,黑客可轻松获取敏感信息
最近,网络安全公司 Cisco Talos 揭露了微软在 macOS 平台上几款应用程序中存在的八个漏洞。
这些漏洞使得攻击者可以绕过 macOS 的权限管理系统,从而获取用户敏感数据或提升权限。简单来说,攻击者如果成功利用这些漏洞,就能获取到这些微软应用程序已经获得的所有权限。
图源备注:图片由AI生成,图片授权服务商Midjourney
这几款受影响的应用程序包括 Outlook、Teams、Word、Excel、PowerPoint 和 OneNote 等。黑客可能会通过向这些应用注入恶意库,获取其权限,并利用这些权限提取用户的敏感信息。例如,攻击者可能会悄悄发送邮件、录制音频、拍摄照片甚至录制视频,所有这些操作都在用户毫不知情的情况下完成。
macOS 的透明度、同意和控制(TCC)框架是苹果公司开发的,用于管理应用程序访问敏感用户数据的权限。TCC 以加密数据库的形式记录了用户为每个应用程序授予的权限,确保这些设置在系统中一致执行。与此同时,macOS 还采用了沙盒技术,为应用程序的运行提供额外的安全层,限制其对系统和其他应用的访问。
然而,如果攻击者能够在一个应用程序的运行过程中注入恶意代码,便可以利用该应用程序的所有权限,像 “代理人” 一样执行各种未授权的操作。为了实施这种攻击,攻击者通常需要在目标设备上获得一定的访问权限,然后才能打开更高权限的应用程序,进一步注入恶意库。
微软方面对这些漏洞的评估是 “低风险”,但也已对 OneNote 和 Teams 的相关问题进行了修复。尽管如此,专家指出,当前的 macOS 框架对如何安全处理插件仍然存在不确定性。尽管对第三方插件进行公证是一种选择,但这也相对复杂,需要微软或苹果在验证安全性后,对这些模块进行签名。
划重点:
- 🔒 八个漏洞允许黑客绕过 macOS 的权限管理,获取用户敏感数据。
- 📧 攻击者可悄悄发送邮件、录制音频或视频,而用户对此毫不知情。
- 🛡️ 微软已开始修复部分受影响的应用程序,但对插件的安全处理仍需进一步探讨。
什么值得买发布全面AI战略:值得买消费大模型参数规模达130亿
站长之家(ChinaZ.com)5月11日消息:在5月10日于北京举行的以“效率驱动未来”为主题的2024值得买科技集团战略发布会上,值得买科技创始人、董事长隋国栋分享了公司的创业理念、AIGC实践以及对未来技术发展趋势的深入洞察。站长网2024-05-11 16:07:530000孟子3-13B大模型正式开源
澜舟科技近日宣布,其研发的孟子3-13B大模型正式开源,并向学术研究领域全面开放,同时支持免费商用。这一轻量化大模型在多项基准测试中展现了优异的性能,特别是在参数量20B以内的模型中,其中英文语言能力尤为突出,数学和编程能力也位于行业前列。站长网2024-04-06 14:20:430000Meta AI开源T2V模型AVID 可修复视频改变纹理
MetaAI最近开源了AVID,这是一项具有先进修复和扩展能力的T2V模型。AVID不仅支持通过文本编辑视频,还可以修复视频、更改视频对象、改变纹理和颜色,甚至删除视频内容或更换视频环境。项目地址:https://zhang-zx.github.io/AVID/这个开源项目是为了解决文本引导的视频修复所面临的三个主要挑战:时间一致性、不同保真度级别的支持以及处理可变的视频长度。站长网2023-12-12 10:48:430001视频生成大模型红毯结束,正戏开锣
这是《窄播Weekly》的第31期,本期我们关注的商业动态是:AI视频生成大模型。今年2月OpenAI通过Sora的发布,为AI视频生成明确了依靠DiT(DifffusionTransfomer)架构获得突破的技术路径。随后,快手、阿里巴巴、字节跳动、美图、生数科技、智谱AI、MiniMax纷纷入局其中,持续提升着AI视频生成的赛道热度。9月,国产视频生成大模型迎来了目前最重要的一轮爆发:站长网2024-10-10 08:44:510000创业失败,又不赚钱,因为你做的太多了!
各位村民好,我是村长。很多人创业失败,一直赚不到钱。并不是因为懂得太少,而是知道的太多、做的太多!今天就要说一下,许多人在赚取人生第一桶金的时候,都会出现的问题,这几乎是每个人都会犯的错。01想的太多许多人都想拍短视频,毕竟看到了那么多人通过短视频赚到了钱。但是还没有认真拍之前,就开始胡思乱想了。我拍视频被朋友、亲戚、同学看到怎么办?他们会嘲笑我的。站长网2023-07-28 09:13:100003