40s 新聞速遞
- 蘋果將於 3 月或 4 月舉行釋出會:推 iPhone SE3
- 開發者因無報酬故意破壞知名 NPM 開源庫,引發熱議
- 蘋果 2021 年總共向開發者支付 600 億美元,創下新紀錄
- H2 資料庫中發現類似 Log4j 的漏洞
- 19 歲少年遠端入侵 25 輛特斯拉汽車 稱利用軟體漏洞
- 為免遭攻擊,安全研究員呼籲要求 Apple 禁用“2G”
- Linux 準備最終移除對 a.out 格式的支援
- Chrome 將禁止外部域名訪問本地網路
- Linux 5.16 釋出,帶來許多改進、修復
- 谷歌推出 Chrome 98 測試版,支援顏色漸變向量字型
- Linux 5.16 開發者統計
- KeePass 2.50 釋出,金鑰派生功能顯著增加
- Rust 1.58.0 釋出,引入捕獲的識別符號
- KDE Plasma 5.24 Beta 釋出
行業資訊
蘋果將於 3 月或 4 月舉行釋出會:推 iPhone SE3
據美國媒體最新報導稱,蘋果目前正計劃今年 3 月或 4 月舉行釋出會,推出支援 5G 網路的 iPhone SE3。這次釋出會依然是線上虛擬形式。按照之前的說法,全新第三代 iPhone SE 將於今年釋出,並支援 5G 網路,升級 A 系列晶片。外觀方面,不會有任何變化。在最近兩年,iPhone SE3 的傳言一直很多,一些資訊提到 iPhone SE3 會迎來全新設計,類似 iPhone 11,沒有觸控 ID,邊框變窄,但另外一些傳言稱,iPhone SE3 外觀不會變化,全新設計的 iPhone SE 已經推遲至 2024 年。
開發者因無報酬故意破壞知名 NPM 開源庫,引發熱議
近日,知名開源工具 faker.js 的作者 Marak Squires 故意破壞 GitHub 上的開源庫 “faker.js” 和“color.js”,將專案所有程式碼清空,並在 commit 中留下 “endgame” 字樣,還在 README 中寫道 “What really happened with Aaron Swartz?”。(Swartz 是一位美國程式設計師、企業家和著名的黑客活動家,在一場官司之後自殺。)據悉,Marak 破壞該專案原因系無報酬。此前在 2020 年 9 月,Marak 曾在家中備有炸彈材料,疑似患有“精神問題” 並因魯莽危害被起訴。11 月他發文要求使用 faker.js 專案的公司向他支付費用,否則他將不再提供維護工作。
目前,Marak 已經被暫停 GitHub 賬號,同時 NPM 也恢復到了之前版本的 faker.js 包。Marak 的舉動引發了網友大量的爭議:資訊安全專家 VessOnSecurity 稱該行為“不負責任”;軟體工程師 Sergio Gómez 稱這是“綁架”,並提出需要開始分散託管免費開原始碼等。
蘋果 2021 年總共向開發者支付 600 億美元,創下新紀錄
蘋果公司表示在 2021 年共向開發者支付 600 億美元。此外,自 2008 年以來,App Store 應用商店總共向開發者支付了 2600 億美元。,這表明 App Store 的銷售仍然在以創紀錄的速度增長。截至 2019、2020 年,蘋果支付給開發者的總金額分別為 1550 億和 2000 億美元,這意味著 2020 年蘋果嚮應用開發者支付了 450 億美元。
外媒報導稱,蘋果支付給開發者的款項佔蘋果應用商店總銷售額的 70% 至 85%,而應用商店的銷售額佔應用程式數字購買銷售額的 15% 至 30%。分析師們以此估算,蘋果應用商店銷售額仍在快速增長。
H2 資料庫中發現類似 Log4j 的漏洞
近日,JFrog Security(軟體分發社交平臺)的一名安全研究人員在 H2 資料庫(開源 Java SQL 資料庫)控制檯中發現了一個基於 JNDI 的嚴重漏洞,與 Log4Shell 類似,該漏洞存在於 Apache 日誌庫中。此漏洞現在被跟蹤為 CVE-2021-42392。
而在 1 月 10 日,美國網路安全與基礎設施安全域性(CISA)高階官員表示,安全人員與 log4j 安全漏洞的鬥爭將是一場持久戰。在 10 日的電話會議期間,CISA 主管 Jen Easterly 向記者透露,儘管還有許多攻擊未公開,但除了對比利時國防部的攻擊之外,目前美國聯邦機構還沒有看到直接 Log4j 漏洞進行的重大網路攻擊。
19 歲少年遠端入侵 25 輛特斯拉汽車 稱利用軟體漏洞
19 歲的德國安全研究人員大衛 · 科倫坡(David Colombo)日前表示,他在特斯拉的系統中發現一處軟體漏洞,並通過該漏洞遠端入侵了 13 個國家的逾 25 輛特斯拉電動汽車,使其關閉安全系統。科倫坡自稱為「資訊科技專家」,當地時間週二在 Twitter 上稱,特斯拉汽車的該軟體漏洞允許他遠端開啟門窗,無需鑰匙就能啟動汽車,還能關閉車輛的安全系統。科倫坡還表示,他一直在與特斯拉的安全團隊保持聯絡,特斯拉目前正在調查該問題,如果有最新進展也會告知科倫坡。
為免遭攻擊,安全研究員呼籲要求 Apple 禁用“2G”
去年,谷歌為新的 Android 智慧手機推出了 “禁用 2G” 功能,它將為蜂窩站點模擬器提供一些保護,這是一種在全國範圍內使用的侵入性警察監視技術。2G 中有許多安全漏洞,這些漏洞使得使用者容易受到攻擊。因此谷歌實現這一功能非常受用,但對於 iPhone 使用者來說不同,因為 Apple 並不支援此項禁用功能。對此,EFF 的一名安全研究員和技術專家 Cooper Quintin 發文呼籲大家要求 Apple 也停止此功能。
Linux 準備最終移除對 a.out 格式的支援
1 月 13 日,Linux 核心開發人員 Borislav Petkov 提議從核心中移除對 a.out 支援的補丁。Linux 一直依賴 a.out 格式,直到 90 年代中期的 v1.2,ELF 成為流行的二進位制檔案格式。雖然多年來 a.out 格式並未在 Linux 上廣泛使用,但在 2019 年才真正棄用了 x86 32 位上執行的 a.out 二進位制檔案。到目前為止,其他響應的上游開發人員都支援清除這種已棄用的 a.out。一些舊的系統呼叫和其他未使用的核心程式碼也有可能在此過程中被清除。
Chrome 將禁止外部域名訪問本地網路
為防止惡意指令碼悄悄在瀏覽器上執行本地 HTTP 請求,Chrome 將實現名為 Private Network Access (PNA)的 W3C 新規格阻止這一被惡意程式濫用的行為。新功能將在今年上半年推出,PNA 將在 Chrome 中引入一個機制,外部域名在嘗試與本地網路裝置建立連線前需要徵得系統許可,如果本地裝置如伺服器或路由器沒有回應,嘗試建立連線的請求將被阻止。
最新技術動態
Linux 5.16 釋出,帶來許多改進、修復
1 月 9 日,Linux 5.16 釋出,核心已升級至穩定版。
主要更新內容
- 用於幫助 Steam Play(和 Wine)的 FUTEX2 futex_waitv 系統呼叫;
- AMD Ryzen 6000 移動系列正在形成更好的形狀;
- 英特爾對 Sapphire Rapids 的 AMX 支援已經落地;
- 大型 AMD Ryzen 具有 Radeon 圖形效能改進以及大量其他硬體改進
谷歌推出 Chrome 98 測試版,支援顏色漸變向量字型
繼上週釋出 Chrome 97 之後,谷歌將 Chrome 98 升級為 beta 版本。在 Chrome 98 中,有一些小的改進,主要面向開發人員。
主要更新內容
- 支援 COLRv1 顏色漸變向量字型作為新的字型格式;
- 使用動態範圍和視訊動態範圍的 CSS 進行 HDR 彩色媒體查詢;
- 支援控制 window.open() 行為,無論是新視窗中的彈出視窗還是新選項卡等
Linux 5.16 開發者統計
近日釋出的 Linux 5.16 包含了來自 1,988 名開發者的 14,190 個變更集。開發者數量僅次於 Linux 5.13 的 2,062 人,為歷史第二高,有 296 名開發者是首次向核心貢獻補丁。根據變更集統計,最活躍的五名開發者是 Michael Straube,Cai Huoqing,Jakub Kicinski,Christoph Hellwig 和 Bart Van Assche,其中 Michael Straube 的貢獻主要集中在 r8188eu 無線網路卡驅動程式,而 Cai Huoqing 主要做了大量的清理工作(可能是百度開發者,此前曾用 @baidu.com 字尾的郵件),Jakub Kicinski 改進了網路子系統,Christoph Hellwig 的貢獻集中在塊和檔案系統層,Bart Van Assche 修改了 SCSI 子系統程式碼。
KeePass 2.50 釋出,金鑰派生功能顯著增加
目前,KeePass 2.50 已升級到穩定版,新版本金鑰派生功能得到顯著增加。
主要更新內容
- 在 Windows 上 AES-KDF 的速度約快一倍,若安裝了 libgcrypt 庫,在 Linux 系統上 AES-KDF 的速度大約快 4 倍;
- 進了對 Brave、Epiphany、Pale Moon 和 Vivaldi 瀏覽器的檢測;
- 改進了密碼管理器中的金鑰處理;
- 改進了獨佔金鑰提供程式的處理等
Rust 1.58.0 釋出,引入捕獲的識別符號
1 月 13 日,Rust 團隊宣佈 Rust 1.58.0 釋出。
主要更新內容
- 在格式字串中引入捕獲的識別符號;
- 改變 Windows 上的 Command 搜尋路徑;
- 在標準庫中增加 #[must_use] 註釋;
- 以及一些新的庫穩定性改進等
KDE Plasma 5.24 Beta 釋出
在穩定版之前,KDE 釋出 Plasma 5.24 Beta 版。
主要更新內容
- Wayland 改進;
- Breeze 主題的改進;
- 各種系統托盤和小部件改進;
- KDE 系統設定的更改;
- 新的 KWin 概覽效果;
- 許多 Discover 改進以及大量修復等