更多

    【小心電郵附件】Office 漏洞未修正 惡意攻擊橫行

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    AirTags 準備就緒? Find My 程式已暗藏 AirTags 介面?!

    話說昨晚 Samsung 的 Galaxy Unpacked 2021 發表會中,公布了一款藍牙物件定位裝置 Galaxy SmartTag 。雖然這兩年來已不停傳出 Apple 也準備推出名為 AirTags 的同類裝置,但未推出就是未推出。不過最近就有人發現 AirTags 功能其實已經暗藏於 iOS 14.3 之內,而且可以透過手機的 Safari 召喚出來!

    iOS 14.4 會對非官方鏡頭零件發出警告

    Apple 日前向開發者和公眾釋出 iOS 14.4 beta 2 。這個相隔了一個月推出的測試版本據報加入了檢測相機鏡頭模組的功能,如果用戶把手機拿去第三方維修商修理,而相機鏡頭不是原廠的話,就會發出警告。

    用 Apple 銀包、 Google Pay 儲存針卡?Microsoft 、 Oracle 加入 VCI 數碼針卡計劃

    香港政府早前推出「智方便」個人身分程式,打算未來展開新冠肺炎疫苗注射之後,可以透過智方便來存取「數碼針紙」。而在國外亦打算建立大規模的數碼針紙平台。美國時間 1 月 14 日一項名為 Vaccination Credential Initiative ( VCI )宣布成立,除了醫療相關的企業外, Microsoft 、 Oracle 、 Salesforce 等科企都有加入,希望政府機構、醫療機構和航空公司可以合作,開發一套電子證明卡。

    美國卡耐基梅隆大學的保安機構 CERT/CC 剛公布在 Microsoft Office 裡發現一個還未修正的漏洞,用戶一旦開啟電郵中含有惡意程式碼的虛假 Word 附件,就會下載惡意軟件到電腦上。最可怕的是,利用這個漏洞的攻擊早在今年 1 月就出現了。
    據 CERT/CC 指出,這個漏洞是出於 Windows 用來連結圖片等資料到 Office 等文件裡時所用到的 OLE 功能有漏洞所致,駭客可以利用這個漏洞,將偽裝成 Word 文件的 RTF 檔案以附件方式寄給受害人,當受害人打開那附件,遠端的駭客就可以在沒有認證的情況下執行任意程式碼。

    CERT/CC 公布發現 Office 漏洞問題
    CERT/CC 公布發現未修正的 Office 漏洞問題

    據 Microsoft 旗下的保安單位 Mcafee 表示,這漏洞會連結到受駭客控制的遠端伺服器,下載一個含有 HTML 應用程式(HTA)內容的檔案,並把它當作 .hta 檔案來執行。由於 HTA 檔案沒有瀏覽器的安全模型的限制,所以就可以隨意執行任意程式碼。而這個攻擊,即使是在 Windows 10 上運行的最新版的 Office 2016 亦不能倖免。
    由於這個漏洞仍未有修正更新,Mcafee 建議用戶現在切勿開啟來路不明的 Office 文件。另外,他們發現這個攻擊手段無法繞運過 Protected View (受保護下的檢視),所以大家應該立即檢查有沒有啟用 Protected View 。在 Protected View 下,檔案會處於唯讀狀態。

    確認「受保護下的檢視」功能

    [row][third_paragraph]

    1. 在 Office 主菜單選擇「檔案>選項」;
    1. 在 Office 主菜單選擇「檔案>選項」;

    [/third_paragraph][third_paragraph]
    2. 點擊「信任中心>信任中心設定」;
    2. 點擊「信任中心>信任中心設定」;

    [/third_paragraph][third_paragraph]
    3. 點擊「受保護下的檢視」,檢查所有選項是否已打勾
    3. 點擊「受保護下的檢視」,檢查所有選項是否已打勾

    [/third_paragraph][/row]
    據知, Microsoft 會在明天( 4 月 12 日)釋出 Office 每月定期保安更新,雖然未知更新會否包括修正這個漏洞,不過大家還是應該立即進行更新。
    資料來源:CERT/CC、Mcafee

    您會感興趣的內容

    相關文章