In Office for Mac klafft eine Sicherheitslücke, die sich mit dem Update auf eine der neuern Betriebssystemversionen aus dem Weg räumen lässt. Wenn der Fehler ausgenutzt wird, können Angreifer potenziell Nutzerdaten auslesen und stehlen, wie einem Deep-Dive-
Blogbeitrag von
Microsoft zu entnehmen ist (
via "Heise"). Dies ist möglich, indem es mit einem speziell gestalteten Phython-File möglich ist, aus der MacOS-Sandbox auszubrechen. Der Fehler mit der Kennzeichnung
CVE-2022-26706 wird mit dem "~$"-Prefix ermöglicht, welches aus Gründen der Rückwärtskompatibilität in Office für Mac belassen wurde.
Der Fix für den Fehler steht bereit – dazu muss lediglich die neueste OS-Version eingespielt werden. Bei Monterey ist das Version 12.4, bei Bigsur mindestens Version 11.6.6.
(win)