主要观点：2024 年 4 月微软发现 macOS 中的漏洞，允许特制代码逃离 App Sandbox 并在系统上 unrestricted 运行，攻击者可利用此漏洞进行恶意操作，如提升权限、窃取数据等。该漏洞在研究 Office 宏时被发现，与 2022 年的另一个漏洞类似，已与苹果共享发现并发布了修复程序 CVE-2025-31191。文章详细介绍了利用 Office 宏逃离 macOS App Sandbox 的调查过程，包括 macOS App Sandbox 和 Office 宏的相关机制、文件访问批准使用内核令牌、通过钥匙串逃离 App Sandbox 等，并强调了通过漏洞管理和威胁情报共享加强设备安全的重要性。
关键信息：

• 2024 年 4 月发现 macOS 漏洞，可影响 sandboxed app 如 Office。
• 与苹果通过 CVD 和 MSVR 共享发现，苹果 2025 年 3 月发布修复程序。
• 介绍 macOS App Sandbox 机制及对 Office 宏影响。
• 发现用户选择文件的持久化机制及安全书签相关内容。
• 阐述通过删除旧钥匙串签名秘密并添加新秘密逃离 App Sandbox 的过程。
• 强调漏洞管理和威胁情报共享对加强设备安全的作用。
  重要细节：
• 安全书签机制中，ScopedBookmarkAgent 负责验证和生成书签及令牌。
• 钥匙串的访问控制列表限制对特定密钥的访问。
• Microsoft Defender for Endpoint 可检测相关恶意行为并阻止攻击。
• 提供了多个相关的参考链接和学习资源。