Microsoftアプリ(Mac版)に特権昇格の脆弱性、MSは修正に消極的

画像提供：マイナビニュース

Cisco Talos Intelligence Groupは8月19日(米国時間)、「How multiple vulnerabilities in Microsoft apps for macOS pave the way to stealing permissions」において、macOS向けMicrosoftアプリケーションに複数の脆弱性が存在すると報じた。これら脆弱性を悪用されると、悪意のあるライブラリを介して権限を昇格される可能性がある。

○脆弱性の概要

脆弱性の情報は次のページにまとまっている。

TALOS-2024-1972 || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence
TALOS-2024-1973 || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence
TALOS-2024-1974 || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence
TALOS-2024-1975 || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence
TALOS-2024-1976 || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence
TALOS-2024-1977 || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence
TALOS-2024-1990 || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence
TALOS-2024-1991 || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence

脆弱性の情報(CVE)は次のとおり。

CVE-2024-42220 - macOS向けMicrosoft Outlookにライブラリインジェクションの脆弱性。特別に細工されたライブラリによりOutlookのアクセス権限を利用される可能性がある
CVE-2024-42004 - macOS向けMicrosoft Teamsにライブラリインジェクションの脆弱性。特別に細工されたライブラリによりTeamsのアクセス権限を利用される可能性がある
CVE-2024-39804 - macOS向けMicrosoft PowerPointにライブラリインジェクションの脆弱性。特別に細工されたライブラリによりPowerPointのアクセス権限を利用される可能性がある
CVE-2024-41159 - macOS向けMicrosoft OneNoteにライブラリインジェクションの脆弱性。特別に細工されたライブラリによりOneNoteのアクセス権限を利用される可能性がある
CVE-2024-43106 - macOS向けMicrosoft Excelにライブラリインジェクションの脆弱性。特別に細工されたライブラリによりExcelのアクセス権限を利用される可能性がある
CVE-2024-41165 - macOS向けMicrosoft Wordにライブラリーインジェクションの脆弱性。特別に細工されたライブラリによりWordのアクセス権限を利用される可能性がある
CVE-2024-41145 - macOS向けMicrosoft Teamsのヘルパーアプリ「WebView.app」にライブラリインジェクションの脆弱性。特別に細工されたライブラリによりTeamsのアクセス権限を利用される可能性がある
CVE-2024-41138 - macOS向けMicrosoft Teamsのヘルパーアプリ「com.microsoft.teams2.modulehost.app」にライブラリインジェクションの脆弱性。特別に細工されたライブラリによりTeamsのアクセス権限を利用される可能性がある