Lỗ hổng bảo mật nghiêm trọng trong Microsoft Office có thể kiểm soát macOS

Lỗ hổng có thể dẫn đến hacker chiếm quyền kiểm soát toàn bộ máy Mac bằng cách sử dụng các tài liệu Office đơn giản có chứa mã độc.

Theo trang 9To5Mac, cựu hacker NSA Patrick Wardle đã phát hiện ra lỗ hổng bảo mật trong phiên bản Microsoft Office dành cho Mac. Lỗ hổng có thể dẫn đến tin tặc chiếm quyền kiểm soát toàn bộ máy Mac bằng cách sử dụng các tài liệu Office đơn giản có chứa mã độc.

Lỗ hổng bảo mật nghiêm trọng trong Microsoft Office có thể kiểm soát macOS
Để thêm mã độc, hacker đã sử dụng nhiều lỗ hổng và lỗi khác nhau trong các ứng dụng Microsoft Office

Nguồn tin nói rằng lỗ hổng này dựa trên chức năng "vĩ mô". Tính năng này cho phép người dùng sử dụng các lệnh và hướng dẫn tùy chỉnh để tự động hóa một số tác vụ trong ứng dụng Microsoft Office. Các cuộc tấn công này là phổ biến trên Windows, nhưng Wardle đã chứng minh rằng những điều tương tự có thể xảy ra trên macOS.

Mặc dù các cuộc tấn công tương tự đòi hỏi sự tương tác của người dùng để hoạt động, hacker cảnh báo rằng một số người dùng không nhận thức được rủi ro vẫn có thể cho phép các hoạt động như vậy.

Để thêm mã độc, hacker đã sử dụng nhiều lỗ hổng và lỗi khác nhau trong các ứng dụng Microsoft Office. Wardle đã tạo một tệp ở định dạng SLK để bỏ qua hệ thống bảo mật macOS. Vì Microsoft Office sử dụng định dạng cụ thể này, ngay cả khi người dùng tải xuống tệp từ một nguồn không xác định, macOS sẽ không hỏi người dùng liệu họ có thực sự muốn mở tệp hay không.

 

Bằng cách tạo tệp bắt đầu bằng ký tự "$", mã độc có thể làm hỏng sandbox Microsoft Office để truy cập vào bất kỳ phần nào khác của hệ điều hành. Tin tặc có thể mở ứng dụng máy tính thông qua Microsoft Excel mà không cần ủy quyền của người dùng để chứng minh mã độc, nhưng nó cũng có thể được sử dụng cho các mục đích khác.

Lý do cuộc tấn công này ít gây hại hơn là ứng dụng Microsoft Office sẽ hỏi người dùng nếu họ thực sự muốn kích hoạt chức năng macro. Nhưng như Wardle đã nói, một số người dùng đã không đọc cảnh báo hệ thống và họ có thể chỉ cần nhấp vào tùy chọn để bỏ qua hộp thoại.

Các lỗ hổng bảo mật này đã được sửa bởi phiên bản mới nhất của Microsoft Office cho Mac và macOS Catalina 10.15.3. Nhưng nó vẫn ảnh hưởng đến người dùng cài đặt bản cập nhật phần mềm theo thời gian. Microsoft cho biết hiện đang thảo luận với Apple để xác định và giải quyết các vấn đề tương tự do Wardle tìm thấy.

Điệp Lưu 

Hacker Việt chưa buông tha tài khoản cựu cầu thủ Chelsea

Hacker Việt chưa buông tha tài khoản cựu cầu thủ Chelsea

Sau khi bị chiếm đoạt vô cớ, những tưởng tài khoản Facebook đã quay trở về với Branislav Ivanovic. Thế nhưng, các hacker vẫn chưa buông tha cho cựu cầu thủ Chelsea.   

 
List comment
 
Trẻ em có nguy cơ trở thành nạn nhân của tấn công trực tuyến khi cách ly xã hội
icon

Báo cáo từ Kaspersky cho thấy trẻ em dành nhiều thời gian cho hoạt động giải trí, học tập trên mạng trong giai đoạn cách ly xã hội. Nếu không có chỉ dẫn đầy đủ từ người lớn, trẻ có thể trở thành nạn nhân của tấn công trực tuyến.

 
Hơn 43% bộ, tỉnh đã bảo đảm an toàn thông tin theo mô hình 4 lớp
icon

Theo Cục An toàn thông tin, Bộ TT&TT, tính đến hết tháng 7/2020, tỷ lệ bộ, tỉnh triển khai bảo đảm an toàn thông tin theo mô hình 4 lớp đạt hơn 43%, tăng 2,2 lần so với hồi cuối tháng 6.

 
Twitter đối mặt với án phạt 250 triệu USD vì xâm hại dữ liệu cá nhân người dùng
icon

Ủy ban Thương mại Liên bang Hoa Kỳ (FTC) hiện đang tiến hành một cuộc điều tra liên quan đến việc Twitter sử dụng số điện thoại của người dùng để nhắm mục tiêu quảng cáo.

 
Hacker Việt chưa buông tha tài khoản cựu cầu thủ Chelsea
icon

Sau khi bị chiếm đoạt vô cớ, những tưởng tài khoản Facebook đã quay trở về với Branislav Ivanovic. Thế nhưng, các hacker vẫn chưa buông tha cho cựu cầu thủ Chelsea.   

 
Ivanovic đã lấy lại Facebook, khẳng định thủ phạm là hacker Việt Nam
icon

Khoảng 2 tuần sau khi bị hacker Việt chiếm tài khoản tích xanh để bán hàng online, Facebook của Branislav Ivanovic - cựu cầu thủ Chelsea mới quay về với chủ cũ.   

 
 
Người giữ Facebook của Ivanovic tung tin giả, tiếp tục lừa bịp
icon

Sau lời thách thức ai đủ bản lĩnh cứ lấy lại Facebook cho Ivanovic, người giữ tài khoản cựu cầu thủ Chelsea tiếp tục mạo danh để tung tin giả.

Bắt nghi phạm 17 tuổi tấn công Twitter của Barack Obama, Bill Gates, Tesla để lừa đảo
icon

Nghi phạm đã nhận được 400 lần chuyển tiền với số tiền lên tới 100.000 USD quy đổi Bitcoin chỉ trong một ngày.

Hôm nay ông Trump sẽ cấm TikTok tại Mỹ
icon

Tổng thống Mỹ Donald Trump nói với phóng viên ông sẽ cấm ứng dụng TikTok tại Mỹ sớm nhất trong hôm nay (1/8).  

Nhân viên “mắc lỗi ngớ ngẩn” khiến Twitter bị hack
icon

Các nhân viên của Twitter đã bị tin tặc lừa đảo bằng điện thoại để chiếm quyền điều khiển và xâm nhập vào hệ thống của mạng xã hội này.

Chuyên gia công nghệ nói gì về việc hàng loạt người dùng iPhone dính tin nhắn spam?
icon

Những bên nhà cái phi pháp đã dần có những “tiến hoá' mới trong quảng cáo dịch vụ của mình. Dạo gần đây rất nhiều người sử dụng dịch vụ iMessage trên iPhone đã bị gửi tin nhắn quảng cáo trang web cá độ.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123