新闻来源连结：
https://reurl.cc/ErYOrR
新闻本文：
安全团队 CertiK 昨（2）日公布一个可能危及加密货币资产安全的漏洞，报告称微软 Offi
ce 产品中有名为“ Follina ”的零时差漏洞（CVE-2022-30190），攻击者可以透过微软支
援诊断工具（MS Support Diagnostic Tool）取得高系统权限，可用来执行PowerShell 恶意
程式 。
报告甚至提到，该漏洞甚至能允许攻击者绕过密码等一系列加密保护，透过这种方式，骇客
能监看受害者电脑的的许多系统资讯与个人隐私。
发现的研究人员Nao_sec称，自己是在研究微软Windows远端程式码执行（RCE）漏洞CVE-202
1-40444时意外发现的新漏洞，并且在 VirusTotal 上发现一个恶意Word档案，该档案包含外
部超连结会自动加载一个HTML档案，再使用指令“ms-msdt”MSProtocol URI scheme，加载
一段恶意程式码使 PowerShell执行。
CertiK 为此警告，所有在电脑与线上储存数位资产的投资者都该格外注意，并举例以 Meta
Mask为例：只要使用 Follina，骇客可以轻松看到受害者的 MetaMask 浏览器扩展相关资讯
，使用里面储存的金钥，快速地将资产转移到另一个钱包。
忽略使用硬件钱包等等是诸如此类零时差漏洞，导致加密货币被偷取的主要原因。
－CertiK
而当前问题已回报给微软官方，已成功进行漏洞立案，官方尚在进行修补程式的制作。虽然
没有表明受害系统资讯以及 Office 相关版本资讯，动区仍提醒读者，在修补完成前，请注
意相关资讯，减少使用装载有 Office 系统的电脑进行交易，以免财产发生损失。
评论：
各位有装office的电脑都危险喔，幸好我都用退休iphone重置后只装钱包来操作合约

MetaMask不是还要输入密码才能用 没密码也能偷看密钥?

密钥是存在你的电脑里面，打密码只是接口上的把关

那密码只是防旁人不防骇客程式的

简单查了一下 MetaMask 是把私钥透过套件进行AES-GCM对称加密后存在本机档案 如果密码也同时泄漏或被猜出就没了照理说有保护 但密码还是偏容易发现主要是私钥加密档取得后可以不受限制透过暴力破解密码

没差 输到没钱了 被盗也是空的QQ

好奇问，这种程式防毒有办法挡吗？

理论上可以 但前提是防毒软件更新赶得上漏洞开发速度这个漏洞只要有装Office 预览或开启docx 就能触发 无关宏但攻击模式很显然可以被侦测 就看会不会有变种

谢谢 所以还是要有防毒或冷钱包。我有些小币冷钱包不支援蛮困扰的，有什么好方法吗@@a

可以跑shell 等于取得完全控制权了吧囧

只用退休iphone最安全

请问用退休iPhone （Wallet app)连结电脑website (defi的portal)后 不用时disconnect那还会有这类风险吗？

乖乖用硬件钱包连metamask呗 还没遇过不支援的币

还好我用linux

谢cp大 刚查了一下ledger可存小币 但不支援质押QQ我有Acala Astar等小币 目前都只能放热钱包 Q.Q

MacOS Linux估计都能降低风险，多数仍然针对windows

质押LIDO可以啊 METAMASK能做的DEFI 硬件钱包都可以metamask不支援的币/链 硬件钱包也可以像sol狐狸不支援 装个phantom钱包chrome扩充也能玩defi

我只有挨打币在热钱包因为LEDGER不支援.不过那个也没人偷

这不是把msdt 关掉就没事了吗 ...至少MS官方是这么建议的

旧iphone有无法靠软件更新修复的芯片漏洞，你确定有比较安全吗ww

漏洞只到A11而已，而且这个只是用来跳过SecureROM而已重点是没办法远端，也就是当他搞这个，你人也被抓住了

改用macbook