Office 被曝 0 day 漏洞，微软确认 Windows 支持诊断工具存在问题；台半导体厂主管薪水大涨，超 10 人跻身亿元俱乐部

本文链接：https://blog.csdn.net/JSPSEO/article/details/125126922

台半导体厂主管薪水大涨，超 10 人跻身亿元俱乐部

台湾半导体产业一直面临人才短缺方面的挑战，近年来，面对激烈的人才市场竞争，为争抢有限的人才，各家厂商纷纷大举提薪征才留才，加之产业景气度向好，半导体厂商主管的薪金普遍大幅提升。

据台湾经济日报报道，有超过 10 人去年薪水迈入 1 亿元新台币大关。

经济日报的报道指出，受益于半导体产业景气畅旺，多家半导体厂去年缴出营收、获利同创新高的佳绩，员工薪资也随着之水涨船高。根据公开资料测算，瑞鼎去年平均员工薪资达 611.9 万元，高居上市公司之冠，年增率达 153.4%。

其他如联咏及联发科去年平均员工薪资分别达 516.2 万元及 513.8 万元，年增长 58.4% 及 50.5%；年薪 400 万元级的包括矽创、瑞昱与晶豪科，去年平均员工薪资分别达 494.9 万元、486.6 万元及 460.5 万元，年增率达 132.6%、50% 及 117.7%；上市公司员工平均薪资前 6 名都是半导体行业。

另外根据年报资料显示，晶圆代工厂台积电欧亚业务资深副总经理侯永清去年酬金级距向上跃升，与欧亚业务资深副总经理何丽梅等多位资深副总经理同列 1 亿元以上酬金级距。另一晶圆代工厂联电去年营运表现出色，获利成长逾 9 成，董事长暨策略长洪嘉聪及两位共同总经理简山杰和王石去年酬金都突破 1 亿元。

晶圆代工厂世界先进董事长暨总经理方略、力积电总经理谢再居，以及存储控制芯片厂群联执行长潘健成和总经理欧阳志光去年酬金也都跃升至 1 亿元以上级距。

联发科包括执行副总经理暨财务长顾大为、执行副总经理庄承德、执行副总经理暨技术长周渔君、资深副总经理游人杰、资深副总经理杨哲铭、资深副总经理蔡守仁、副总经理 Vincent Yung Mien Hu 等多达 7 位主管去年酬金跃升至 1 亿元以上级距。

Office 被曝 0 day 漏洞，微软确认 Windows 支持诊断工具存在问题

IT之家 6 月 4 日消息，有研究人员在微软 Office 中发现一个 0 day 安全漏洞 ——Follina，漏洞 CVE 编号为 CVE-2022-30190。

微软已确认该漏洞存在于 Windows 上的微软支持诊断工具（Microsoft Support Diagnostic Tool）中，当 MSDT 使用 Word 等应用从 URL 协议调用时便会触发漏洞。

值得注意的是，这种混淆的代码可以在不打开文档的情况下运行，比如通过 IE 的预览窗口。

攻击者利用该漏洞可以以调用应用的权限运行任意代码，然后安装应用程序、查看、修改和删除数据，甚至创建新的账户等。

IT之家了解到，这一漏洞似乎不局限于 Windows 的版本，只要系统安装了 Microsoft 支持诊断工具就有可能会暴露出来。

微软表示，用户只需禁用 MSDT URL 协议即可避免此漏洞被利用，而且你仍然可以使用 Get Help 应用程序和系统设置中的其他或其他故障排除程序访问故障排除程序。此外，微软还提示用户将杀软 Microsoft Defender 更新至最新版本（1.367.719.0），以检测任何可能的漏洞利用。

禁用 MSDT URL 协议的方法：

以管理员身份打开命令提示符 CMD。
备份注册表项，执行命令 reg export HKEY_CLASSES_ROOT\ms-msdt filename
执行命令 reg delete HKEY_CLASSES_ROOT\ms-msdt /f

撤销：

以管理员身份运行命令提示符。
要恢复注册表项，请执行命令“reg import filename”

安全研究人员 nao_sec 上个月意外发现一个位于 Belarus 的 IP 地址向 Virus Total 提交的恶意 Word 文档，该文件滥用了微软的 MSDT（ms-msdt）技术。他使用外部链接来加载 HTML，然后使用 ms-msdt 方案来执行 PowerShell 代码。

Kevin Beaumont 发现，这是一个微软 Word 使用 MSDT 执行的命令行字符串，即使在宏脚本被禁用的情况下也可以执行。目前已知受该漏洞影响的版本有 Office 2013、2016、Office Pro Plus 和 Office 2021 等。

实际上，研究人员早在 4 月就将该漏洞报告给了微软，但微软称这并非是一个安全相关的问题，并且关闭了该漏洞报告，声称没有远程代码执行的安全影响，但直到 5 月 30 日微软才对该漏洞分配了 CVE 编号，虽然至今都没有发布关于该漏洞的修复补丁。

上市不足一年，在线教育机构掌门教育启动退市程序

6 月 4 日消息，掌门教育宣布于 2022 年 6 月 2 日收到纽约证券交易所的书面通知决定启动对掌门教育的美国存托股票（ADS）进行退市程序。

根据纽约证券交易所上市公司手册（NYSE’s Listed Company Manual）第 802.01B 部分的规定，由于掌门教育未能在连续 30 个交易日内将其全球平均市值保持在至少 1500 万美元，未能达到纽交所持续上市的标准，所以纽交所监管部决定将掌门教育的美国存托股票（American Depositary Shares）退市。

早在 2022 年 4 月，掌门教育就收到纽交所警示函，因其总市值和股东权益低于纽交所的合规标准。根据标准，一家公司在 30 个交易日内的总市值低于 5000 万美元且其股东权益低于 5000 万美元，则该公司将被视为低于合规标准。掌门教育需要在收信后的 90 天内做出回应，且提交商业计划书以证明其在 18 个月内遵守纽交所继续上市规则。

资料显示，掌门教育最早成立于 2005 年，以线下培训为主，2014 年，掌门教育更名为“掌门 1 对 1”同时全面转型提供在线一对一教育服务。此后掌门 1 对 1 获得近 7 轮融资融资额高达数十亿元，投资方不乏顺为资本、软银愿景基金等明星机构。

2021 年 6 月 8 日，在“双减”文件出台前夕，掌门教育成功在纽交所上市，其首次公开发行价为每 ADS 11.50 美元，募资规模达 4170 万美元。

最新财报显示，2021 财年，掌门教育营收 44.04 亿元，同比上涨 9.6%；净亏损 11.77 亿元，上年同期净亏损为 10.12 亿元；归属于母公司普通股股东净亏损为 33.95 亿元，上年同期净亏损为 19.52 亿元。

昨日收盘，掌门教育股价已跌至 0.60 美元 / 股。