40S新闻速递
- 存在 15 年未被修补的 Python 破绽,影响超 35 万个我的项目
- 国行 iPhone 14 存在重大设计缺点,苹果放弃 600 万减产打算
- 硅谷巨头个体向 Tiktok 停火
- 新恶意程序能感化 Windows、Linux 和 FreeBSD
- 伦敦警方确认一名与《GTV6》泄露相干的 17 岁少年被捕
- 苹果 10 月新品发布会或勾销
- Mozilla 向科技巨头 “停火”,指摘谷歌、微软垄断浏览器市场
- 因法律问题,Fedora 禁用 Mesa 的 H.264 / H.265 / VC1 VA-API 反对
- GNOME 43 公布
- Rust 1.64.0 公布
- Linux 6.0 公布
- Linux 6.1 合并补丁退出对 Rust 的初步反对
- Qt 6.4 正式公布
行业资讯
存在 15 年未被修补的 Python 破绽,影响超 35 万个我的项目
平安公司 Trellix 钻研人员 Kasimir Schulz 在对我的项目钻研中发现了一个 Python 目录遍历破绽。他指出,开发人员很容易无心中将破绽蕴含在本人的代码中。通过进一步剖析,他确定这是 CVE-2007-4559 造成的,这是 2007 年就披露的 Python tarfile 包中存在 15 年的 N day 破绽。理论的破绽来自应用未经解决的 tarfile.extract() 或 tarfile.extractall() 的内置默认值的两三行代码。在调用 tarfile.extract() 或 tarfile.extractall() 之前未能编写任何平安代码来清理成员文件会导致目录遍历破绽,从而使不良行为者可能拜访文件系统。Trellix 预计有超过 35 万个易受攻击的存储库,其中许多被用于帮忙开发人员晋升效率的机器学习工具(如 GitHub Copilot)应用。这种主动
化工具依赖于来自数十万个存储库的代码来提供 “auto-complete” 选项。
破绽报告详情:https://www.trellix.com/en-us…
国行 iPhone 14 存在重大设计缺点,苹果放弃 600 万减产打算
一些用户埋怨 iPhone 14 Pro 在充电时随机重启。该问题在几天前曾经呈现,包含应用 MagSafe 或 Lightning 线缆充电。也有用户称,“这种状况仅在电池充电 90-95%(尤其是93%)并且手机处于闲暇状态时才会产生。到目前为止,惟一能做的事件(截至目前两晚没有重新启动)是禁用后盾应用程序刷新。”还有大量用户称,收到苹果 iPhone 14 Pro/Max 国行 Bug 卡槽版:只能应用单 SIM 卡。当然,这可能还不是最重大的问题,有不少网友也遇到一个更重大的问题:紫色版本的 iPhone 14 Pro 后壳会掉漆。
据知情人士走漏,因为需要下滑,苹果放弃了 iPhone 的减产打算。知情人士称,苹果公司已告知供应商,勾销在往年下半年将 iPhone 14 系列产品的组装量减少到 600 万部。该公司打算在此期间生产 9000 万部手机,与去年的程度大抵相当,合乎苹果今年夏天最后的预测。
硅谷巨头个体向 Tiktok 停火
在近期刚落下帷幕的美国科技界年度编码大会 Code Conference 现场,硅谷科技巨头们不谋而合地向 TikTok 停火。Google CEO Sundar Pichai 称:「TikTok 倒退速度太快了,要晓得 3 年前咱们基本没有人在探讨它」,而它当初曾经壮大为 Google 旗下视频平台 YouTube 的无力竞争对手。Snapchat 首席执行官 Evan Spiegel 指出,TikTok 通过破费「数十亿美元」收购创作者和用户来抢占市场份额,这样的产品算不上科技翻新的产物。
苹果 CEO Tim Cook 也在谈及新兴社交媒体平台倒退时示意:「咱们(苹果)制作的手机,从来不会令用户无脑、无限度地沉迷刷屏」。纽约大学商学院传授 Scott Galloway 用一句话总结了这场年度科技互联网盛事:到目前为止,Code 大会只有两个议题:一个是 Tik,另一个是 Tok。
新恶意程序能感化 Windows、Linux 和 FreeBSD
平安公司 Lumen 钻研人员发现了一种从未见过的跨平台恶意程序,能感化 Windows 和 Linux 设施,包含小型办公室路由器、FreeBSD 盒子和大型企业服务器。钻研人员将该恶意程序命名为 Chaos,因为这个单词重复呈现在恶意程序的函数名、证书和文件名中。它最早可能是在 4 月 16 日呈现的,之后几个月感化了数以百计的设施。Chaos 的独特之处是设计反对 ARM、Intel(i386)、MIPS 和 PowerPC 等架构,反对 Windows 和 Linux 操作系统,它只通过已知的 CVE 破绽,利用暴力破解和窃取的 SSH 密钥进行流传。Chaos 的感化次要集中在欧洲地区。
伦敦警方确认一名与《GTV6》泄露相干的 17 岁少年被捕
伦敦警方官网 Twitter 账号证实在牛津郡拘捕了一名 17 岁少年,其罪名与黑客攻击相干。因为嫌疑人尚未成年,因隐衷规定警方没有走漏更多细节。多家媒体报道称,这位黑客涉嫌入侵了《侠盗猎车手 6(GTV6)》开发商 Rockstar North 泄露了正在开发的游戏测试视频,以及入侵了打车软件巨头 Uber,他被认为与 Lapsus$ 黑客组织有关联,而早在往年上半年 BBC 报道称一名 16 岁的牛津少年(aka White 或 Breachbase) 是该黑客组织的胁从之一,目前尚不分明是否是同一人。
苹果 10 月新品发布会或勾销
据 Bloomberg 记者 Mark Gurman 报道,苹果可能将会通过在网站上公布新闻稿或者与指定媒体的简报会,而不是通过发布会来公布其 2022 年的剩余产品。苹果将在 10 月公布的新品包含:新的 iPad Pro、Mac mini 以及 14 英寸和 16 英寸 MacBook Pro 。此前,苹果也曾通过新闻稿公布产品,例如 AirPods Max 和最后的 AirPods Pro。
Mozilla 向科技巨头 “停火”,指摘谷歌、微软垄断浏览器市场
Firefox 开发商 Mozilla 近日公布了一份钻研报告,全文长达 66 页,主题是探讨为什么浏览器对互联网至关重要,以及操作系统如何妨碍了它们的倒退。
Mozilla 在报告中指出,包含谷歌、亚马逊、Facebook、苹果和微软在内的 “巨头” 构建了各自的「围墙花园」 (Walled Garden),他们通过各种形式疏导用户应用各自平台的默认浏览器。这些行为包含限度发现独立利用、在操作系统捆绑自家的浏览器并在主屏幕或快捷栏设为默认项、减少更换默认浏览器的复杂度、在显眼地位疏导用户将自家浏览器设置为默认项等。很显然,大多数用户不会被动地更改这些默认浏览器(尤其是这些操作系统不能便捷地更换默认浏览器),因而他们没有志愿采取额定的口头去寻找或发现代替不太出名的浏览器。
因法律问题,Fedora 禁用 Mesa 的 H.264 / H.265 / VC1 VA-API 反对
Fedora 的 Mesa 包曾经构建了残缺的 VA-API 反对(Video Acceleration API 是一个开源库和 API 标准,它提供了对视频解决图形硬件加速能力的拜访。),但因为法律(专利)起因,Fedora Linux 37 正在删除其 H.264 / H.265 / VC1 减速反对。
该变动产生在半个月前,Fedora 从 Mesa VA-API 构建中移除了一系列 H.264 / H.265 / VC1 反对,并发表评论称:“咱们对此没有法律批准,以前它是 “意外发货” 的。 ”
对于应用带有开源驱动程序的 GPU (次要是 AMD),并应用它来减速 H.264、H.265 或 VC1 解码的 Fedora Linux 用户来说,将不得不退回到应用基于 CPU 的解码,或者依赖非官方 / 第三方 Mesa 构建。这会影响 Fedora Workstation 的常见用例,例如观看视频、外部游戏流,加入在线会议等等。
最新技术动静
GNOME 43 公布
时隔6个月,GNOME 推出了代号为“Guadalajara”的GNOME 43版本,以表彰 GUADEC 2022 组织者所做的工作。该版本带来了从新设计的零碎状态菜单,容许疾速更改罕用设置,以前须要深刻菜单的设置当初能够通过单击按钮实现。
详情查看:https://release.gnome.org/43/
Rust 1.64.0 公布
Rust 团队公布了最新的1.64版本,该版本对语言、编译器、库、稳固API等进行了更新,在语言层面,例如容许带有可变援用或容许类型的图元的联盟、编译器方面,增加任天堂Switch作为第3级指标,库方面,移除了 compare-exchange内存排序等。
详情查看:https://github.com/rust-lang/…
Linux 6.0 公布
Linus Torvalds 在内核邮件列表上发表公布 Linux 6.0。次要新个性包含:改良 ACPI 解决和电源治理;一系列 io_uring 改良,反对 XFS 文件系统缓冲写入,Zero-copy 网络传输,基于 io_uring 的块驱动机制,运行时验证子系统;等等。更多可浏览 LWN 详情一和二。
详情查看:https://lkml.iu.edu/hypermail…
Linux 6.1 合并补丁退出对 Rust 的初步反对
初步反对 Rust 语言的首批补丁合并到了 Linux 6.1 中。Linux 6.0 公布之后,Linux 6.1 合并窗口开启,继续两周。Rust-for-Linux 的初步反对大抵来自四个畛域:Kernel 外部(kallsyms expansion for Rust symbols, %pA format);Kbuild 基础设施 (Rust 构建规定和反对脚本);反对初步最简可行构建所需的 Rust crates 和绑定;Rust kernel 文档和示例。
Qt 6.4 正式公布
该版本引入了对新平台的反对,把 WebAssembly 的反对从技术预览中移除,带来了 Qt for WebAssembly。此外还带来了泛滥新性能,例如 Qt Quick (TP) 的 iOS 款式、Qt HTTP Server (TP)等。面向Web组件平台的应用程序能够在大多数古代Web浏览器中运行,并且能够像任何其余 Web 内容一样轻松散发。凭借 Qt Quick 和 Qt Quick 3D 近乎原生的性能以及丰盛的 UI 和 3D 性能,当初能够轻松构建须要大量数据处理和刻薄可视化的 Web 解决方案。
详情查看:https://www.qt.io/blog/qt-6.4…
发表回复