近日,微软Office中一个被称为"Follina"的零日漏洞被发现。攻击者可使用微软的微软支持诊断工具,从远程URL检索并执行恶意代码。微软Office的系列套件和使用MSDT的产品目前仍有可能受该零日漏洞的影响。
微软在其公告中写道:"当从Word等调用应用程序使用URL协议调用MSDT时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以使用调用应用程序的权限运行任意代码。然后攻击者可以安装程序、查看、更改或删除数据,或者在用户权限允许的上下文中创建新帐户"。
微软浏览器Microsoft Edge现已支持欧易插件钱包:据欧易OKX官方消息,微软浏览器Microsoft Edge现已支持欧易Web3插件钱包,是为数不多Microsoft Edge支持的Web3插件钱包。用户可通过Microsoft Edge安装、使用欧易Web3插件钱包。
上周,微软完成了对一家专注Web3游戏公司的投资。微软游戏公司首席执行官Phil Spencer表明公司打算扩大对web3的参与。[2022/11/17 13:17:01]
由于该漏洞允许攻击者绕过密码保护,从而远程安装文件,或者查看、更改及删除数据,因此也被戏称为“零点击远程代码执行技术”。总的来说,攻击者可以在运行用户权限允许的范围内,通过发送一个微软Word文件,在你打开文件或在"预览"中查看文件的瞬间执行恶意代码,并在目标系统上远程执行恶意代码。
声音 | 微软李国平:应用区块链技术应多思考如何赋能、少谈颠覆:据经济观察网12月6日消息,微软中国金融行业总监李国平表示,第一,今天应用区块链技术,应该多思考如何赋能,少谈颠覆。他认为其实在从传统业态向数字生活,数字经济迈进的过程中,有很多行业场景存在痛点和短板,在整个信息化进程中如何补足现有实体经济中的这些问题,赋能现有业务,提高效率,降低成本,是区块链应用最应该思考的问题;第二,科技向善。今天的区块链技术、人工智能技术等,公众是存在认知差的。出现了认知差,就存在炒作的空间,就可能有泡沫,还包括新技术滥用数据等问题。因此在应用新的技术时,要在态度上端正,敬畏监管,敬畏客户,敬畏可持续发展,这样才能走的更远,更稳;第三,从网络效应原理来看,网络是越大价值越大。从最早的局域网到以太网到现在整个互联的世界,网络的效应是需要扩大的。因此今天谈公有链,链与链之间有没有标准?全球有没有标准?中国有没有标准?很多企业资产能不能链互链?思考和解决这些问题,有助于区块链的应用范围和价值的扩大。[2019/12/7]
通过这种方式,黑客能够查看并获得受害者的系统和个人信息。这个零日漏洞允许黑客进一步攻击,提升黑客在受害者系统里的权限,并获得对本地系统和运行进程的额外访问,包括目标用户的互联网浏览器和浏览器插件,如Metamask-一个用于存储加密资金的软件钱包。
动态 | 微软将推出以太坊扩展方案“nahmii”:9月10日,微软将联合区块链初创公司Hubii推出以太坊扩展方案“nahmii”。双方计划于9月12日在微软挪威总部推出这款产品。nahmii基于以太坊网络,但也兼容支持智能合约的DLT(分布式账本技术)平台。nahmii开发人员计划通过RSK(一种由BTC网络保护的智能合约平台),将nahmii部署到比特币网络上。(Crowdfund Insider)[2019/9/10]
这样的漏洞表明了用户使用硬件钱包离线存储私钥的重要性,因为它可将私钥与被攻击的系统分开。忽视使用硬件钱包,是零日漏洞导致加密货币资金被盗的主要原因之一。
这种类型的漏洞在Web3世界中可以说是非常“流行”,每个月可导致数百万美元的损失。类似的攻击已经影响到Web3社区,而这个漏洞比"0-click"漏洞更严重。例如,发生在2022年3月22日的Arthur_0x黑客攻击,导致超过160万美元的NFT和加密货币损失。它使用了有针对性的网络钓鱼攻击技术,通过电子邮件发送了看起来像谷歌文档的链接,将恶意代码注入受害者的系统。另一个使用了有针对性的网络钓鱼攻击的例子发生在2022年2月19日,当交易者打开他们认为是OpenSea官方的关于迁移的电子邮件时,价值170万美元的ETH被盗走,导致恶意软件通过隐藏在伪装链接中的恶意合同被放入他们的钱包。
网络钓鱼攻击是攻击者可获得高价值,且操作相对简单的一种攻击方法。随着Web3用户能够即时直接地进行资产交易,网络钓鱼活动也随之增加。特别是Telegram和Discord相关的攻击,恶意链接每天都会出现在流行的服务器上。而随着Web3的发展,这些类型的攻击将继续增长,因为它成本低且有效性强,攻击者能够适应各种防御手段,以继续进行攻击。
如果你目前正在使用微软的Office,CertiK安全团队建议按照以下链接的步骤,正确保护你的设备和个人信息。?
可以防止攻击的一些方法步骤:
遵循最小权限原则,只给Windows用户分配完成其职责所需的权限。反过来,这也限制了攻击者在系统被破坏时继承的权限。?
在使用微软卫士的ASR时,在阻止模式下激活"阻止所有Office应用程序创建子进程"规则。
在审计模式下运行该规则,并监测结果,以确保对最终用户没有不利影响。
删除有关ms-msdt的文件类型,防止恶意软件运行。
金色财经挖矿数据播报 | ETH今日全网算力上涨2.81%:金色财经报道,据蜘蛛矿池数据显示: BTC全网算力127.899EH/s,挖矿难度17.60T,目前区块高度657434.
1900/1/1 0:00:00CoinTelegraph是什么?如果你不熟悉Cointelegraph,那么你一定对加密货币非常陌生。这是因为Cointelegraph是目前最受欢迎的加密新闻网站之一.
1900/1/1 0:00:00元宇宙在近期得到各方莫大的关注。此前01区块链发布了一篇《元宇宙中的八个新商业模式》,探讨了元宇宙带来了哪些新颖的商业或是经济模式。今天就让我们来看一下究竟元宇宙的发展会带来哪些新型职业.
1900/1/1 0:00:00从去年开始,很多人讨论Web3,甚至不少区块链项目都纷纷以Web3自居,其实不少人冰没有搞懂Web3是什么,而最近推特因为几年前收集用户隐私信息获利的事情被罚1.5亿美元,成为不少人关注的焦点.
1900/1/1 0:00:00总部位于洛杉矶的增强现实初创公司Jadu完成3600万美元A轮融资,将用于构建一个游戏平台,让玩家可以通过其?NFT化身在现实世界中漫游.
1900/1/1 0:00:00原文标题:《30TokenDesignandLaunchQuestions》如果把加密货币比作web2世界中的网站,那么SEO和可搜索性就是通过流动性池和做市实现这些代币的无缝分配.
1900/1/1 0:00:00