Office 被曝 0 day 漏洞，微软确认 Windows 支持诊断工具存在问题；台半导体厂主管薪水大涨，超 10 人跻身亿元俱乐部

台半导体厂主管薪水大涨，超 10 人跻身亿元俱乐部

台湾半导体产业一直面临人才短缺方面的挑战，近年来，面对激烈的人才市场竞争，为争抢有限的人才，各家厂商纷纷大举提薪征才留才，加之产业景气度向好，半导体厂商主管的薪金普遍大幅提升。

据台湾经济日报报道，有超过 10 人去年薪水迈入 1 亿元新台币大关。

经济日报的报道指出，受益于半导体产业景气畅旺，多家半导体厂去年缴出营收、获利同创新高的佳绩，员工薪资也随着之水涨船高。根据公开资料测算，瑞鼎去年平均员工薪资达 611.9 万元，高居上市公司之冠，年增率达 153.4%。

其他如联咏及联发科去年平均员工薪资分别达 516.2 万元及 513.8 万元，年增长 58.4% 及 50.5%；年薪 400 万元级的包括矽创、瑞昱与晶豪科，去年平均员工薪资分别达 494.9 万元、486.6 万元及 460.5 万元，年增率达 132.6%、50% 及 117.7%；上市公司员工平均薪资前 6 名都是半导体行业。

另外根据年报资料显示，晶圆代工厂台积电欧亚业务资深副总经理侯永清去年酬金级距向上跃升，与欧亚业务资深副总经理何丽梅等多位资深副总经理同列 1 亿元以上酬金级距。另一晶圆代工厂联电去年营运表现出色，获利成长逾 9 成，董事长暨策略长洪嘉聪及两位共同总经理简山杰和王石去年酬金都突破 1 亿元。

晶圆代工厂世界先进董事长暨总经理方略、力积电总经理谢再居，以及存储控制芯片厂群联执行长潘健成和总经理欧阳志光去年酬金也都跃升至 1 亿元以上级距。

联发科包括执行副总经理暨财务长顾大为、执行副总经理庄承德、执行副总经理暨技术长周渔君、资深副总经理游人杰、资深副总经理杨哲铭、资深副总经理蔡守仁、副总经理 Vincent Yung Mien Hu 等多达 7 位主管去年酬金跃升至 1 亿元以上级距。

Office 被曝 0 day 漏洞，微软确认 Windows 支持诊断工具存在问题

IT之家 6 月 4 日消息，有研究人员在微软 Office 中发现一个 0 day 安全漏洞 ——Follina，漏洞 CVE 编号为 CVE-2022-30190。

微软已确认该漏洞存在于 Windows 上的微软支持诊断工具（Microsoft Support Diagnostic Tool）中，当 MSDT 使用 Word 等应用从 URL 协议调用时便会触发漏洞。

值得注意的是，这种混淆的代码可以在不打开文档的情况下运行，比如通过 IE 的预览窗口。

攻击者利用该漏洞可以以调用应用的权限运行任意代码，然后安装应用程序、查看、修改和删除数据，甚至创建新的账户等。

IT之家了解到，这一漏洞似乎不局限于 Windows 的版本，只要系统安装了 Microsoft 支持诊断工具就有可能会暴露出来。

微软表示，用户只需禁用 MSDT URL 协议即可避免此漏洞被利用，而且你仍然可以使用 Get Help 应用程序和系统设置中的其他或其他故障排除程序访问故障排除程序。此外，微软还提示用户将杀软 Microsoft Defender 更新至最新版本（1.367.719.0），以检测任何可能的漏洞利用。

禁用 MSDT URL 协议的方法：

以管理员身份打开命令提示符 CMD。
备份注册表项，执行命令 reg export HKEY_CLASSES_ROOT\ms-msdt filename
执行命令 reg delete HKEY_CLASSES_ROOT\ms-msdt /f

撤销：

以管理员身份运行命令提示符。
要恢复注册表项，请执行命令“reg import filename”

安全研究人员 nao_sec 上个月意外发现一个位于 Belarus 的 IP 地址向 Virus Total 提交的恶意 Word 文档，该文件滥用了微软的 MSDT（ms-msdt）技术。他使用外部链接来加载 HTML，然后使用 ms-msdt 方案来执行 PowerShell 代码。

Kevin Beaumont 发现，这是一个微软 Word 使用 MSDT 执行的命令行字符串，即使在宏脚本被禁用的情况下也可以执行。目前已知受该漏洞影响的版本有 Office 2013、2016、Office Pro Plus 和 Office 2021 等。

实际上，研究人员早在 4 月就将该漏洞报告给了微软，但微软称这并非是一个安全相关的问题，并且关闭了该漏洞报告，声称没有远程代码执行的安全影响，但直到 5 月 30 日微软才对该漏洞分配了 CVE 编号，虽然至今都没有发布关于该漏洞的修复补丁。

上市不足一年，在线教育机构掌门教育启动退市程序

6 月 4 日消息，掌门教育宣布于 2022 年 6 月 2 日收到纽约证券交易所的书面通知决定启动对掌门教育的美国存托股票（ADS）进行退市程序。

根据纽约证券交易所上市公司手册（NYSE’s Listed Company Manual）第 802.01B 部分的规定，由于掌门教育未能在连续 30 个交易日内将其全球平均市值保持在至少 1500 万美元，未能达到纽交所持续上市的标准，所以纽交所监管部决定将掌门教育的美国存托股票（American Depositary Shares）退市。

早在 2022 年 4 月，掌门教育就收到纽交所警示函，因其总市值和股东权益低于纽交所的合规标准。根据标准，一家公司在 30 个交易日内的总市值低于 5000 万美元且其股东权益低于 5000 万美元，则该公司将被视为低于合规标准。掌门教育需要在收信后的 90 天内做出回应，且提交商业计划书以证明其在 18 个月内遵守纽交所继续上市规则。

资料显示，掌门教育最早成立于 2005 年，以线下培训为主，2014 年，掌门教育更名为“掌门 1 对 1”同时全面转型提供在线一对一教育服务。此后掌门 1 对 1 获得近 7 轮融资融资额高达数十亿元，投资方不乏顺为资本、软银愿景基金等明星机构。

2021 年 6 月 8 日，在“双减”文件出台前夕，掌门教育成功在纽交所上市，其首次公开发行价为每 ADS 11.50 美元，募资规模达 4170 万美元。

最新财报显示，2021 财年，掌门教育营收 44.04 亿元，同比上涨 9.6%；净亏损 11.77 亿元，上年同期净亏损为 10.12 亿元；归属于母公司普通股股东净亏损为 33.95 亿元，上年同期净亏损为 19.52 亿元。

昨日收盘，掌门教育股价已跌至 0.60 美元 / 股。

苹果前 Apple Arcade 创意总监跳槽迪士尼，专注元宇宙开发

迪士尼已成功邀请到苹果前 Apple Arcade 创意总监 Mark Bozon 加入其团队，负责整合迪士尼现有诸多资源进行元宇宙方面的开发。

此前他在苹果工作量 12 年，期间曾担任各种高管职务，他于 2022 年 5 月离开苹果，并被迪士尼聘用，负责元宇宙方面的开发，并整合迪士尼现有的诸多资源，打造优秀的互联网体验。

他在迪士尼的新头衔将会是副总裁，职务是「Next Generation Storytelling Creative Experiences」

Office 被曝 0 day 漏洞，微软确认 Windows 支持诊断工具存在问题；台半导体厂主管薪水大涨，超 10 人跻身亿元俱乐部相关推荐

Windows支持诊断工具(MSDT)远程代码执行漏洞(CVE-2022-30190)分析复现/修复
前言 Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability对应的cve为CVE-20 ...
Microsoft 支持诊断工具 (MSDT) Follina漏洞
Microsoft 在2022 年 5 月 31 日披露了 Microsoft 支持诊断工具 (MSDT) 中的远程代码执行 (RCE) 漏洞.这个漏洞被称为"Follina",攻 ...
iis6.0 php漏洞,微软IIS 6.0和7.5的多个漏洞及利用方法
微软的IIS 6.0安装PHP绕过认证漏洞微软IIS与PHP 6.0(这是对PHP5中的Windows Server 2003 SP1的测试) 详细说明: 攻击者可以发送一个特殊的请求发送到IIS ...
Razer Synapse 0 day漏洞可获得Windows 10管理员权限
Razer Synapse 0 day漏洞,插入Razer鼠标即可获得Windows 10管理员权限. Razer 是一家知名的游戏设备品牌厂商,提供的产品包括游戏鼠标和键盘.在Windows 10或 ...
成都2018年GDP超1.5万亿元比上年增长8.0%
中新网1月28日电记者28日从成都市人民政府新闻办公室获悉,2018年成都市实现地区生产总值15342.77亿元,按可比价格计算,比上年增长8.0%(下同),高于全国1.4个百分点. 分产业看,第一 ...
IE再次曝出安全漏洞微软表示正在调查
今天,微软官网发表了安全公告KB980088,声称正在调查一个近日被公布的新IE浏览器安全漏洞.据了解,该漏洞会导致信息泄露,影响所有Windows XP用户以及那些关闭了IE保护模式的用户. 根据微 ...
PowerToys 0.19.0 发布，微软开发的免费实用工具集
微软发布了 PowerToys 0.19.0 版本.0.19 发布周期目标有一个大目标,那就是增加稳定性和质量上的修复.此版本已经解决了 100 多个 issues. 安装体验也得到了改善,部分改动将 ...
起底高危RCE漏洞“Follina”：Windows系统无一幸免
通告信息上周末,独立网络安全研究团队@nao_sec通过社交媒体表示,发现一份从白俄罗斯提交至分析服务网站VirusTotal的恶意微软Word文档,利用远程模板功能并通过"ms-msdt ...
微软 Office 中的零日漏洞: “ Follina”将在宏被禁用时工作
信息安全网的研究人员在微软无处不在的 Office 软件中发现了一个零日代码执行漏洞. 这个被称为" Follina"的漏洞已经流传了一段时间(网络安全研究员 Kevin Beau ...