19 歲少年入侵 25 輛特斯拉汽車；開發者因無報酬破壞 NPM 開源庫；Rust 1.58.0 釋出

40s 新聞速遞

蘋果將於 3 月或 4 月舉行釋出會：推 iPhone SE3
開發者因無報酬故意破壞知名 NPM 開源庫，引發熱議
蘋果 2021 年總共向開發者支付 600 億美元，創下新紀錄
H2 資料庫中發現類似 Log4j 的漏洞
19 歲少年遠端入侵 25 輛特斯拉汽車稱利用軟體漏洞
為免遭攻擊，安全研究員呼籲要求 Apple 禁用“2G”
Linux 準備最終移除對 a.out 格式的支援
Chrome 將禁止外部域名訪問本地網路
Linux 5.16 釋出，帶來許多改進、修復
谷歌推出 Chrome 98 測試版，支援顏色漸變向量字型
Linux 5.16 開發者統計
KeePass 2.50 釋出，金鑰派生功能顯著增加
Rust 1.58.0 釋出，引入捕獲的識別符號
KDE Plasma 5.24 Beta 釋出

行業資訊

蘋果將於 3 月或 4 月舉行釋出會：推 iPhone SE3

據美國媒體最新報導稱，蘋果目前正計劃今年 3 月或 4 月舉行釋出會，推出支援 5G 網路的 iPhone SE3。這次釋出會依然是線上虛擬形式。按照之前的說法，全新第三代 iPhone SE 將於今年釋出，並支援 5G 網路，升級 A 系列晶片。外觀方面，不會有任何變化。在最近兩年，iPhone SE3 的傳言一直很多，一些資訊提到 iPhone SE3 會迎來全新設計，類似 iPhone 11，沒有觸控 ID，邊框變窄，但另外一些傳言稱，iPhone SE3 外觀不會變化，全新設計的 iPhone SE 已經推遲至 2024 年。

開發者因無報酬故意破壞知名 NPM 開源庫，引發熱議

近日，知名開源工具 faker.js 的作者 Marak Squires 故意破壞 GitHub 上的開源庫 “faker.js” 和“color.js”，將專案所有程式碼清空，並在 commit 中留下 “endgame” 字樣，還在 README 中寫道 “What really happened with Aaron Swartz?”。（Swartz 是一位美國程式設計師、企業家和著名的黑客活動家，在一場官司之後自殺。）據悉，Marak 破壞該專案原因系無報酬。此前在 2020 年 9 月，Marak 曾在家中備有炸彈材料，疑似患有“精神問題” 並因魯莽危害被起訴。11 月他發文要求使用 faker.js 專案的公司向他支付費用，否則他將不再提供維護工作。

目前，Marak 已經被暫停 GitHub 賬號，同時 NPM 也恢復到了之前版本的 faker.js 包。Marak 的舉動引發了網友大量的爭議：資訊安全專家 VessOnSecurity 稱該行為“不負責任”；軟體工程師 Sergio Gómez 稱這是“綁架”，並提出需要開始分散託管免費開原始碼等。

蘋果 2021 年總共向開發者支付 600 億美元，創下新紀錄

蘋果公司表示在 2021 年共向開發者支付 600 億美元。此外，自 2008 年以來，App Store 應用商店總共向開發者支付了 2600 億美元。，這表明 App Store 的銷售仍然在以創紀錄的速度增長。截至 2019、2020 年，蘋果支付給開發者的總金額分別為 1550 億和 2000 億美元，這意味著 2020 年蘋果嚮應用開發者支付了 450 億美元。

外媒報導稱，蘋果支付給開發者的款項佔蘋果應用商店總銷售額的 70% 至 85%，而應用商店的銷售額佔應用程式數字購買銷售額的 15% 至 30%。分析師們以此估算，蘋果應用商店銷售額仍在快速增長。

H2 資料庫中發現類似 Log4j 的漏洞

近日，JFrog Security（軟體分發社交平臺）的一名安全研究人員在 H2 資料庫（開源 Java SQL 資料庫）控制檯中發現了一個基於 JNDI 的嚴重漏洞，與 Log4Shell 類似，該漏洞存在於 Apache 日誌庫中。此漏洞現在被跟蹤為 CVE-2021-42392。

而在 1 月 10 日，美國網路安全與基礎設施安全域性（CISA）高階官員表示，安全人員與 log4j 安全漏洞的鬥爭將是一場持久戰。在 10 日的電話會議期間，CISA 主管 Jen Easterly 向記者透露，儘管還有許多攻擊未公開，但除了對比利時國防部的攻擊之外，目前美國聯邦機構還沒有看到直接 Log4j 漏洞進行的重大網路攻擊。

19 歲少年遠端入侵 25 輛特斯拉汽車稱利用軟體漏洞

19 歲的德國安全研究人員大衛 · 科倫坡（David Colombo）日前表示，他在特斯拉的系統中發現一處軟體漏洞，並通過該漏洞遠端入侵了 13 個國家的逾 25 輛特斯拉電動汽車，使其關閉安全系統。科倫坡自稱為「資訊科技專家」，當地時間週二在 Twitter 上稱，特斯拉汽車的該軟體漏洞允許他遠端開啟門窗，無需鑰匙就能啟動汽車，還能關閉車輛的安全系統。科倫坡還表示，他一直在與特斯拉的安全團隊保持聯絡，特斯拉目前正在調查該問題，如果有最新進展也會告知科倫坡。

為免遭攻擊，安全研究員呼籲要求 Apple 禁用“2G”

去年，谷歌為新的 Android 智慧手機推出了 “禁用 2G” 功能，它將為蜂窩站點模擬器提供一些保護，這是一種在全國範圍內使用的侵入性警察監視技術。2G 中有許多安全漏洞，這些漏洞使得使用者容易受到攻擊。因此谷歌實現這一功能非常受用，但對於 iPhone 使用者來說不同，因為 Apple 並不支援此項禁用功能。對此，EFF 的一名安全研究員和技術專家 Cooper Quintin 發文呼籲大家要求 Apple 也停止此功能。

Linux 準備最終移除對 a.out 格式的支援

1 月 13 日，Linux 核心開發人員 Borislav Petkov 提議從核心中移除對 a.out 支援的補丁。Linux 一直依賴 a.out 格式，直到 90 年代中期的 v1.2，ELF 成為流行的二進位制檔案格式。雖然多年來 a.out 格式並未在 Linux 上廣泛使用，但在 2019 年才真正棄用了 x86 32 位上執行的 a.out 二進位制檔案。到目前為止，其他響應的上游開發人員都支援清除這種已棄用的 a.out。一些舊的系統呼叫和其他未使用的核心程式碼也有可能在此過程中被清除。

Chrome 將禁止外部域名訪問本地網路

為防止惡意指令碼悄悄在瀏覽器上執行本地 HTTP 請求，Chrome 將實現名為 Private Network Access (PNA）的 W3C 新規格阻止這一被惡意程式濫用的行為。新功能將在今年上半年推出，PNA 將在 Chrome 中引入一個機制，外部域名在嘗試與本地網路裝置建立連線前需要徵得系統許可，如果本地裝置如伺服器或路由器沒有回應，嘗試建立連線的請求將被阻止。

19 歲少年入侵 25 輛特斯拉汽車；開發者因無報酬破壞 NPM 開源庫；Rust 1.58.0 釋出 | 思否週刊

40s 新聞速遞

行業資訊

蘋果將於 3 月或 4 月舉行釋出會：推 iPhone SE3

開發者因無報酬故意破壞知名 NPM 開源庫，引發熱議

蘋果 2021 年總共向開發者支付 600 億美元，創下新紀錄

H2 資料庫中發現類似 Log4j 的漏洞

19 歲少年遠端入侵 25 輛特斯拉汽車稱利用軟體漏洞

為免遭攻擊，安全研究員呼籲要求 Apple 禁用“2G”

Linux 準備最終移除對 a.out 格式的支援

Chrome 將禁止外部域名訪問本地網路

最新技術動態

Linux 5.16 釋出，帶來許多改進、修復

谷歌推出 Chrome 98 測試版，支援顏色漸變向量字型

Linux 5.16 開發者統計

KeePass 2.50 釋出，金鑰派生功能顯著增加

Rust 1.58.0 釋出，引入捕獲的識別符號

KDE Plasma 5.24 Beta 釋出

相關文章

19 歲少年入侵 25 輛特斯拉汽車；開發者因無報酬破壞 NPM 開源庫；Rust 1.58.0 釋出 | 思否週刊

40s 新聞速遞

行業資訊

蘋果將於 3 月或 4 月舉行釋出會：推 iPhone SE3

開發者因無報酬故意破壞知名 NPM 開源庫，引發熱議

蘋果 2021 年總共向開發者支付 600 億美元，創下新紀錄

H2 資料庫中發現類似 Log4j 的漏洞

19 歲少年遠端入侵 25 輛特斯拉汽車 稱利用軟體漏洞

為免遭攻擊，安全研究員呼籲要求 Apple 禁用“2G”

Linux 準備最終移除對 a.out 格式的支援

Chrome 將禁止外部域名訪問本地網路

最新技術動態

Linux 5.16 釋出，帶來許多改進、修復

谷歌推出 Chrome 98 測試版，支援顏色漸變向量字型

Linux 5.16 開發者統計

KeePass 2.50 釋出，金鑰派生功能顯著增加

Rust 1.58.0 釋出，引入捕獲的識別符號

KDE Plasma 5.24 Beta 釋出

相關文章

19 歲少年遠端入侵 25 輛特斯拉汽車稱利用軟體漏洞