Microsoftアプリ(Mac版)に特権昇格の脆弱性、MSは修正に消極的

○脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

Microsoft Outlook(macOS) バージョン16.83.3
Microsoft Teams(macOS) バージョン24046.2813.2770.1094
Microsoft PowerPoint(macOS) バージョン16.83
Microsoft OneNote(macOS) バージョン16.83
Microsoft Excel(macOS) バージョン16.83
Microsoft Word(macOS) バージョン16.83

○脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

Microsoft Teams(macOS) バージョン24124.1412.2911.3341
Microsoft OneNote(macOS) バージョン16.86 (24060916)

○脆弱性の影響

発見された脆弱性はmacOSの「プライバシーとセキュリティ」設定を回避する目的で使用できるとされる。macOSではアプリケーションがカメラ、マイク、位置情報などへアクセスする場合、ユーザーにアクセス許可を求めるポップアップを表示する。

ユーザーは許可、禁止を選択できるため、望まないアクセスを防止することができる。ユーザーのアクセス許可の選択は「プライバシーとセキュリティ」設定内に保存され、次回以降の確認はスキップされる。

この機能によりmacOSユーザーのプライバシーは強力に保護される。しかしながら、対象の脆弱性を悪用する攻撃者はこの保護を回避できる可能性があるという。攻撃者は脆弱性を悪用することで悪意のあるライブラリを標的アプリケーション権限で動作させることが可能なため、選択済みアクセス許可を無断で使用できるとされる。

Cisco Talosによると、Microsoftはこれら脆弱性を低リスクと評価したという。そのため、Microsoftは脆弱性の修正に消極的とみられ、これまでのところTeamsおよびOneNoteのみ修正されている。今後、他のOffice製品が修正されるかは明らかになっていない。
（後藤大地）