7月11日消息,微软采取了主动措施以缓解与欧洲云计算行业组织之间的紧张关系,特别是为了规避潜在的欧盟反垄断调查。据报道,微软已与欧洲云基础设施服务提供商协会(CISPE)达成了一项价值2000万欧元(约合1.58亿元人民币)的和解协议。
查询公开资料,CISPE 协会包括微软云计算竞争对手亚马逊网络服务公司(Amazon Web Services),以及一些规模较小的云计算公司。
CISPE 此前向欧盟委员会提出申诉,指控微软的云业务存在不当行为,影响整个市场的良性竞争。微软为了避免调查,和 CISPE 除了在金钱方面和解之外,还同意让 CISPE 成员运行微软的软件。
报道称微软将为欧洲云提供商提供增强版 Azure Stack HCI,该版本将提供基于 Windows 11 的多会话虚拟桌面基础架构、免费扩展安全更新(ESU)和 SQL Server 的现收现付许可等功能。
微软总裁布拉德·史密斯(Brad Smith)在一份声明中说:
在与 CISPE 及其欧洲成员合作一年多之后,我很高兴我们不仅解决了他们过去的担忧,还共同确定了前进的道路,为欧洲及其他地区的云计算市场带来了更多竞争。
最近,Cisco Talos最新报告揭示,微软在macOS平台上的多款应用程序中发现了八个重要的安全漏洞。这些发现强调了跨平台软件安全性的持续挑战,并提示用户需保持警惕,及时关注微软的安全更新以修复潜在风险。
这些漏洞使得攻击者可以绕过 macOS 的权限管理系统,从而获取用户敏感数据或提升权限。简单来说,攻击者如果成功利用这些漏洞,就能获取到这些微软应用程序已经获得的所有权限。
这几款受影响的应用程序包括 Outlook、Teams、Word、Excel、PowerPoint 和 OneNote 等。黑客可能会通过向这些应用注入恶意库,获取其权限,并利用这些权限提取用户的敏感信息。例如,攻击者可能会悄悄发送邮件、录制音频、拍摄照片甚至录制视频,所有这些操作都在用户毫不知情的情况下完成。
macOS 的透明度、同意和控制(TCC)框架是苹果公司开发的,用于管理应用程序访问敏感用户数据的权限。TCC 以加密数据库的形式记录了用户为每个应用程序授予的权限,确保这些设置在系统中一致执行。与此同时,macOS 还采用了沙盒技术,为应用程序的运行提供额外的安全层,限制其对系统和其他应用的访问。
然而,如果攻击者能够在一个应用程序的运行过程中注入恶意代码,便可以利用该应用程序的所有权限,像 “代理人” 一样执行各种未授权的操作。为了实施这种攻击,攻击者通常需要在目标设备上获得一定的访问权限,然后才能打开更高权限的应用程序,进一步注入恶意库。
微软方面对这些漏洞的评估是 “低风险”,但也已对 OneNote 和 Teams 的相关问题进行了修复。尽管如此,专家指出,当前的 macOS 框架对如何安全处理插件仍然存在不确定性。尽管对第三方插件进行公证是一种选择,但这也相对复杂,需要微软或苹果在验证安全性后,对这些模块进行签名。
7月4日消息,微软公司面临一项重要决议,即在被指控行为不当——对申请病假及探亲假的员工实施报复,包括限制其薪资增长、晋升机会及股票奖励后,现已同意支付1400万美元(折合约1.02亿人民币)作为和解资金以解决此争议。
美国加州民权部门(California Civil Rights Department)此前称微软存在报复员工的行为,相关事件可以追溯到 2017 年,涉及因育儿责任、残疾、怀孕和照顾家庭等相关情况而请假的员工。
该部门表示妇女和残疾人影响最为严重,导致其绩效考核分数较低,抑制了他们的薪酬和晋升机会,损害了他们的职业生涯。
微软公司虽然同意和解,但否认存在不法行为,并将聘请一名独立顾问审查其休假政策,为经理和人力资源人员提供培训。
微软发言人否认了对其提出的指控:
微软致力于营造一种环境,让我们的员工能够在需要时休假,并为他们提供必要的灵活性和支持,让他们在职业和个人方面都能茁壮成长。
民权部门的凯文-基什(Kevin Kish)表示,微软未能妥善照顾需要请假的员工。他表示,该和解协议将为受影响的员工提供“直接救济”,并有助于防止该公司今后出现歧视行为。
目前尚不清楚具体有多少员工受到此案影响,但路透社指出,微软在加州约有 6700 名员工。
8月20日消息,macOS平台上的微软365应用曝露出八个严重的安全漏洞。这些漏洞能被黑客利用以规避macOS系统的权限控制,意味着攻击者能在不触发任何额外用户授权的情况下,依托已获授权的应用功能执行恶意活动,例如擅自发送邮件、录制音频、拍照和录制视频,用户的隐私与安全因此面临威胁。
据了解,这些漏洞基于代码注入技术,即恶意代码被插入到合法进程中,从而访问受保护的资源。苹果的 macOS 系统本身就具备“强化运行时(Hardened Runtime)”等安全功能来防御代码注入。
该功能会阻止应用程序加载未经苹果签名或与主应用程序团队 ID 不匹配的框架、插件或库。然而,开发人员可以通过设置“com.apple.security.cs.disable-library-validation”权限为 true 来绕过此功能。由于微软的 macOS 应用启用了此设置,从而导致了这 8 个新漏洞的出现。
Talos 将这些漏洞通报给了微软团队,微软回应称这些漏洞风险较低。由于微软这些应用程序需要允许加载未签名的库来支持插件功能,因此无法修复这些漏洞。
不过,微软已经为以下不支持插件的应用修复了漏洞:
微软 Teams(工作或学校)应用
微软 Teams(工作或学校)网页版
微软 Teams(工作或学校)桌面版
微软 OneNote
然而,以下四个应用仍然存在漏洞:
微软 Excel
微软 Outlook
微软 PowerPoint
微软 Word
hnqyjy.cn 版权所有 (C)2011 https://www.hnqyjy.cn All Rights Reserved 渝ICP备20008086号-34
