米Ciscoのサイバーセキュリティー部門Cisco Talos Intelligence Groupは8月19日(現地時間)、マイクロソフトがアップルのmacOS向けに提供する複数のアプリで、攻撃者がカメラやマイクなどの権限を乗っ取ることが可能な脆弱性を発見したことを明らかにした。
マイクロソフトは一部アプリを修正対応
発見された脆弱性は、攻撃者が悪意あるライブラリをマイクロソフトのアプリに挿入することで、アプリに付与された権限やアクセス許可を取得できるというものだ。権限を攻撃者に奪われた場合、攻撃者がユーザーのMacを乗っ取り、カメラでユーザーの姿を撮影したり、画面上の操作を録画したり、ユーザーのアカウントを使ってメールを送ったり、Macに保存したデータを盗んだりといったことが可能になる。
対象となるアプリとCVE番号は以下のとおり。
・MicrosofOutlook……CVE-2024-42220
・Microsoft PowerPoint……CVE-2024-39804
・Microsoft Excel……CVE-2024-43106
・Microsoft Word……CVE-2024-41165
・Microsoft OneNote……CVE-2024-41159
・Microsoft Teams(法人/教育機関向け)……CVE-2024-42004
・Microsoft Teams(法人/教育機関向け)WebView.app helper app……CVE-2024-41145
・Microsoft Teams(法人/教育機関向け)com.microsoft.teams2.modulehost.app……CVE-2024-41138
Cisco Talosによると、マイクロソフトはすでに「Teams」関連と「OneNote」の脆弱性には対処しているが、脆弱性に関するリスクは自体は低いとみており、「Word」「Excel」「PowerPoint」「Outlook」については修正されていないという。
