新聞來源連結： https://reurl.cc/ErYOrR 新聞本文： 安全團隊 CertiK 昨（2）日公布一個可能危及加密貨幣資產安全的漏洞，報告稱微軟 Offi ce 產品中有名為「 Follina 」的零時差漏洞（CVE-2022-30190），攻擊者可以透過微軟支 援診斷工具（MS Support Diagnostic Tool）取得高系統權限，可用來執行PowerShell 惡意 程式 。 報告甚至提到，該漏洞甚至能允許攻擊者繞過密碼等一系列加密保護，透過這種方式，駭客 能監看受害者電腦的的許多系統資訊與個人隱私。 發現的研究人員Nao_sec稱，自己是在研究微軟Windows遠端程式碼執行（RCE）漏洞CVE-202 1-40444時意外發現的新漏洞，並且在 VirusTotal 上發現一個惡意Word檔案，該檔案包含外 部超連結會自動載入一個HTML檔案，再使用指令「ms-msdt」MSProtocol URI scheme，載入 一段惡意程式碼使 PowerShell執行。 CertiK 為此警告，所有在電腦與線上儲存數位資產的投資者都該格外注意，並舉例以 Meta Mask為例：只要使用 Follina，駭客可以輕鬆看到受害者的 MetaMask 瀏覽器擴展相關資訊 ，使用裡面儲存的金鑰，快速地將資產轉移到另一個錢包。 忽略使用硬體錢包等等是諸如此類零時差漏洞，導致加密貨幣被偷取的主要原因。 －CertiK 而當前問題已回報給微軟官方，已成功進行漏洞立案，官方尚在進行修補程式的製作。雖然 沒有表明受害系統資訊以及 Office 相關版本資訊，動區仍提醒讀者，在修補完成前，請注 意相關資訊，減少使用裝載有 Office 系統的電腦進行交易，以免財產發生損失。 評論： 各位有裝office的電腦都危險喔，幸好我都用退休iphone重置後只裝錢包來操作合約 ---- Sent from BePTT on my iPhone 11 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.216.133.101 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1654475387.A.705.html