19岁少年入侵25辆特斯拉汽车;开发者因无报酬破坏NPM开源库;Rust 1.58.0发布 | 思否周刊
共 4335字,需浏览 9分钟
·
2022-01-20 14:13
SegmentFault 思否
40s 新闻速递
苹果将于 3 月或 4 月举行发布会:推 iPhone SE3
开发者因无报酬故意破坏知名 NPM 开源库,引发热议
苹果 2021 年总共向开发者支付 600 亿美元,创下新纪录
H2 数据库中发现类似 Log4j 的漏洞
19 岁少年远程入侵 25 辆特斯拉汽车 称利用软件漏洞
为免遭攻击,安全研究员呼吁要求 Apple 禁用“2G”
Linux 准备最终移除对 a.out 格式的支持
Chrome 将禁止外部域名访问本地网络
Linux 5.16 发布,带来许多改进、修复
谷歌推出 Chrome 98 测试版,支持颜色渐变矢量字体
Linux 5.16 开发者统计
KeePass 2.50 发布,密钥派生功能显著增加
Rust 1.58.0 发布,引入捕获的标识符
KDE Plasma 5.24 Beta 发布
SegmentFault 思否
行业资讯
苹果将于 3 月或 4 月举行发布会:推 iPhone SE3
据美国媒体最新报道称,苹果目前正计划今年 3 月或 4 月举行发布会,推出支持 5G 网络的 iPhone SE3。这次发布会依然是线上虚拟形式。按照之前的说法,全新第三代 iPhone SE 将于今年发布,并支持 5G 网络,升级 A 系列芯片。外观方面,不会有任何变化。在最近两年,iPhone SE3 的传言一直很多,一些信息提到 iPhone SE3 会迎来全新设计,类似 iPhone 11,没有触控 ID,边框变窄,但另外一些传言称,iPhone SE3 外观不会变化,全新设计的 iPhone SE 已经推迟至 2024 年。
开发者因无报酬故意破坏知名 NPM 开源库,引发热议
近日,知名开源工具 faker.js 的作者 Marak Squires 故意破坏 GitHub 上的开源库 “faker.js” 和“color.js”,将项目所有代码清空,并在 commit 中留下 “endgame” 字样,还在 README 中写道 “What really happened with Aaron Swartz?”。(Swartz 是一位美国程序员、企业家和著名的黑客活动家,在一场官司之后自杀。)据悉,Marak 破坏该项目原因系无报酬。此前在 2020 年 9 月,Marak 曾在家中备有炸弹材料,疑似患有“精神问题” 并因鲁莽危害被起诉。11 月他发文要求使用 faker.js 项目的公司向他支付费用,否则他将不再提供维护工作。
目前,Marak 已经被暂停 GitHub 账号,同时 NPM 也恢复到了之前版本的 faker.js 包。Marak 的举动引发了网友大量的争议:资讯安全专家 VessOnSecurity 称该行为“不负责任”;软件工程师 Sergio Gómez 称这是“绑架”,并提出需要开始分散托管免费开源代码等。
苹果 2021 年总共向开发者支付 600 亿美元,创下新纪录
苹果公司表示在 2021 年共向开发者支付 600 亿美元。此外,自 2008 年以来,App Store 应用商店总共向开发者支付了 2600 亿美元。,这表明 App Store 的销售仍然在以创纪录的速度增长。截至 2019、2020 年,苹果支付给开发者的总金额分别为 1550 亿和 2000 亿美元,这意味着 2020 年苹果向应用开发者支付了 450 亿美元。
外媒报道称,苹果支付给开发者的款项占苹果应用商店总销售额的 70% 至 85%,而应用商店的销售额占应用程序数字购买销售额的 15% 至 30%。分析师们以此估算,苹果应用商店销售额仍在快速增长。
H2 数据库中发现类似 Log4j 的漏洞
近日,JFrog Security(软件分发社交平台)的一名安全研究人员在 H2 数据库(开源 Java SQL 数据库)控制台中发现了一个基于 JNDI 的严重漏洞,与 Log4Shell 类似,该漏洞存在于 Apache 日志库中。此漏洞现在被跟踪为 CVE-2021-42392。
而在 1 月 10 日,美国网络安全与基础设施安全局(CISA)高级官员表示,安全人员与 log4j 安全漏洞的斗争将是一场持久战。在 10 日的电话会议期间,CISA 主管 Jen Easterly 向记者透露,尽管还有许多攻击未公开,但除了对比利时国防部的攻击之外,目前美国联邦机构还没有看到直接 Log4j 漏洞进行的重大网络攻击。
19 岁少年远程入侵 25 辆特斯拉汽车 称利用软件漏洞
19 岁的德国安全研究人员大卫 · 科伦坡(David Colombo)日前表示,他在特斯拉的系统中发现一处软件漏洞,并通过该漏洞远程入侵了 13 个国家的逾 25 辆特斯拉电动汽车,使其关闭安全系统。科伦坡自称为「信息技术专家」,当地时间周二在 Twitter 上称,特斯拉汽车的该软件漏洞允许他远程打开门窗,无需钥匙就能启动汽车,还能关闭车辆的安全系统。科伦坡还表示,他一直在与特斯拉的安全团队保持联系,特斯拉目前正在调查该问题,如果有最新进展也会告知科伦坡。
为免遭攻击,安全研究员呼吁要求 Apple 禁用“2G”
去年,谷歌为新的 Android 智能手机推出了 “禁用 2G” 功能,它将为蜂窝站点模拟器提供一些保护,这是一种在全国范围内使用的侵入性警察监视技术。2G 中有许多安全漏洞,这些漏洞使得用户容易受到攻击。因此谷歌实现这一功能非常受用,但对于 iPhone 用户来说不同,因为 Apple 并不支持此项禁用功能。对此,EFF 的一名安全研究员和技术专家 Cooper Quintin 发文呼吁大家要求 Apple 也停止此功能。
Linux 准备最终移除对 a.out 格式的支持
1 月 13 日,Linux 内核开发人员 Borislav Petkov 提议从内核中移除对 a.out 支持的补丁。Linux 一直依赖 a.out 格式,直到 90 年代中期的 v1.2,ELF 成为流行的二进制文件格式。虽然多年来 a.out 格式并未在 Linux 上广泛使用,但在 2019 年才真正弃用了 x86 32 位上运行的 a.out 二进制文件。到目前为止,其他响应的上游开发人员都支持清除这种已弃用的 a.out。一些旧的系统调用和其他未使用的内核代码也有可能在此过程中被清除。
Chrome 将禁止外部域名访问本地网络
为防止恶意脚本悄悄在浏览器上执行本地 HTTP 请求,Chrome 将实现名为 Private Network Access (PNA)的 W3C 新规格阻止这一被恶意程序滥用的行为。新功能将在今年上半年推出,PNA 将在 Chrome 中引入一个机制,外部域名在尝试与本地网络设备建立连接前需要征得系统许可,如果本地设备如服务器或路由器没有回应,尝试建立连接的请求将被阻止。
SegmentFault 思否
最新技术动态
Linux 5.16 发布,带来许多改进、修复
1 月 9 日,Linux 5.16 发布,内核已升级至稳定版。
主要更新内容
用于帮助 Steam Play(和 Wine)的 FUTEX2 futex_waitv 系统调用;
AMD Ryzen 6000 移动系列正在形成更好的形状;
英特尔对 Sapphire Rapids 的 AMX 支持已经落地;
大型 AMD Ryzen 具有 Radeon 图形性能改进以及大量其他硬件改进
谷歌推出 Chrome 98 测试版,支持颜色渐变矢量字体
继上周发布 Chrome 97 之后,谷歌将 Chrome 98 升级为 beta 版本。在 Chrome 98 中,有一些小的改进,主要面向开发人员。
主要更新内容
支持 COLRv1 颜色渐变矢量字体作为新的字体格式;
使用动态范围和视频动态范围的 CSS 进行 HDR 彩色媒体查询;
支持控制 window.open() 行为,无论是新窗口中的弹出窗口还是新选项卡等
Linux 5.16 开发者统计
近日发布的 Linux 5.16 包含了来自 1,988 名开发者的 14,190 个变更集。开发者数量仅次于 Linux 5.13 的 2,062 人,为历史第二高,有 296 名开发者是首次向内核贡献补丁。根据变更集统计,最活跃的五名开发者是 Michael Straube,Cai Huoqing,Jakub Kicinski,Christoph Hellwig 和 Bart Van Assche,其中 Michael Straube 的贡献主要集中在 r8188eu 无线网卡驱动程序,而 Cai Huoqing 主要做了大量的清理工作(可能是百度开发者,此前曾用 @baidu.com 后缀的邮件),Jakub Kicinski 改进了网络子系统,Christoph Hellwig 的贡献集中在块和文件系统层,Bart Van Assche 修改了 SCSI 子系统代码。
KeePass 2.50 发布,密钥派生功能显著增加
目前,KeePass 2.50 已升级到稳定版,新版本密钥派生功能得到显著增加。
主要更新内容
在 Windows 上 AES-KDF 的速度约快一倍,若安装了 libgcrypt 库,在 Linux 系统上 AES-KDF 的速度大约快 4 倍;
进了对 Brave、Epiphany、Pale Moon 和 Vivaldi 浏览器的检测;
改进了密码管理器中的密钥处理;
改进了独占密钥提供程序的处理等
Rust 1.58.0 发布,引入捕获的标识符
1 月 13 日,Rust 团队宣布 Rust 1.58.0 发布。
主要更新内容
在格式字符串中引入捕获的标识符;
改变 Windows 上的 Command 搜索路径;
在标准库中增加 #[must_use] 注释;
以及一些新的库稳定性改进等
KDE Plasma 5.24 Beta 发布
在稳定版之前,KDE 发布 Plasma 5.24 Beta 版。
主要更新内容
Wayland 改进;
Breeze 主题的改进;
各种系统托盘和小部件改进;
KDE 系统设置的更改;
新的 KWin 概览效果;
许多 Discover 改进以及大量修复等