40s 新聞速遞
- 美國新法擬讓手機使用者側載 App,蘋果急忙致信稱“太危險”
- 谷歌有意收購網路安全公司 Mandiant 以對抗微軟 Azure
- 探月工程總設計師:中國爭取在月球開通 WiFi
- 蘋果 1.8 米連線線賣 949 元
- 微信內測半屏小程式
- 繼英偉達之後,三星也遭黑客組織竊取資料
- TikTok 或將與甲骨文達成資料儲存協議
- iPhone 13 Pro 蒼嶺綠亮相 友商三星發聲
- Android 新功能上線:可釋放 60% 儲存空間
- Firefox 98 釋出
- Linux 核心發現易於利用的 dirty pipe 漏洞
- Google Chrome 100 Beta 釋出
- Visual Studio 2022 v17.1.1 釋出,修復多個漏洞
- React 18 首個 RC 版本釋出
行業資訊
美國新法擬讓手機使用者側載 App,蘋果急忙致信稱“太危險”
據報導,蘋果公司一直認為,iPhone 手機使用者的軟體側載行為會帶來安全風險,但美國國會的一些議員認為,蘋果誇大了這種安全隱憂。蘋果日前向國會議員發出信件,進行了解釋和呼籲。
所謂“軟體側載”,指的是使用者繞開官方的軟體商店,自行在手機系統中安裝第三方機構開發的應用軟體。
美國國會正準備進行立法,對於手機軟體市場進行改革,向第三方開發商開放更大的市場。一旦立法成功,蘋果和谷歌兩大軟體商店未來將受到遏制。
谷歌有意收購網路安全公司 Mandiant 以對抗微軟 Azure
網路安全公司 Mandiant 週一股價收盤大漲 16%,此前有報導稱,谷歌有興趣收購該公司。Mandiant 的市值約為 52.5 億美元,Mandiant 此前曾隸屬於 FireEye 旗下,後被出售。FireEye 幫助微軟發現了去年攻擊政府系統的 SolarWinds 黑客。
探月工程總設計師:中國爭取在月球開通 WiFi
中國探月工程四期開始實施,主要目標是在月球南極建一個月球科研站的基本型。全國政協常委、中國探月工程總設計師吳偉仁表示,月球科研站上將來可能有 WiFi,而且,未來國際月球科研站有可能作為深空探測的中轉站。
蘋果 1.8 米連線線賣 949 元
3 月 9 日凌晨,蘋果春季釋出會推出全新外接顯示器 Studio Display,該產品隨附一根 1 米長的雷靂 4 Pro 連線線。根據蘋果官網顯示,新上架長 1.8 米的雷靂 4 Pro 連線線,售價 949 元。此外,還即將推出一根 3 米長的,售價 1169 元。
微信內測半屏小程式
微信小程式官方開發文件近日上線了一個新功能,從基礎庫 2.20.1 開始,將支援“半屏小程式”:當小程式需要開啟另一個小程式讓使用者進行快捷操作時,可將要開啟的小程式通過半屏的形態快速拉起。
目前該功能處於內測階段,根據呼叫流程,2.23.1 以下版本基礎庫,開發者需要在全域性配置 app.json 的 embeddedAppIdList 欄位中宣告需要通過半屏形態開啟的小程式,若不配置將降級為普通的小程式跳轉小程式。2.23.1 及以上版本起無需配置。
繼英偉達之後,三星也遭黑客組織竊取資料
繼不久前英偉達內網遭遇黑客組織 Lapsus$ 入侵,導致約 1TB 的相關資料外洩之後,本週,韓國科技巨頭三星電子也被該黑客組織盯上了,並被洩露了大量機密資料,包括生物特徵解鎖裝置演算法、部分基礎服務原始碼、乃至來自高通的機密原始碼。
三星電子在當地時間 3 月 7 日釋出內部公告稱,在發現使用者資料或遭洩露的漏洞後,立即啟動全司資訊保護中心和負責移動終端的 MX 部門安全小組加強保安系統等加以應對。經確認,洩露的資訊中包括 Galaxy 驅動所需部分原始碼,但不包括員工和使用者個人資訊,公司業務正常不受影響,併為引發公眾擔憂致歉。
TikTok 或將與甲骨文達成資料儲存協議
據路透社報導,相關訊息人士透露,TikTok 即將與甲骨文達成協議,在後者伺服器上儲存美國使用者的資料。
據悉,甲骨文將把 TikTok 的所有美國使用者資料儲存在甲骨文的資料伺服器上,成立一個由數百人組成的美國資料管理團隊,作為美國使用者資訊的「看門人」。這兩家公司正在討論一種結構,在這種結構下,美國資料管理團隊將不受 TikTok 的控制或監督。
iPhone 13 Pro 蒼嶺綠亮相 友商三星發聲
在蘋果 iPhone 13 系列蒼嶺綠配色釋出之後,三星美國官方賬號在社交平臺發聲,稱“我們由衷地感到受寵若驚”,暗示蘋果新出的綠色版本 iPhone 是從三星這裡汲取的靈感。
Android 新功能上線:可釋放 60% 儲存空間
Google Play 產品經理 Lidia Gaymond 宣佈,谷歌為 Android 作業系統開發了一個名為 “App Archiving” 的功能,該功能旨在解決 64GB 儲存空間不足的問題。谷歌介紹,使用 App Archiving 可以釋放多達 60% 的儲存空間。
最新技術動態
Firefox 98 釋出
Mozilla 釋出了 Firefox 98。
主要更新內容
- 優化下載流,不再每次都提示,檔案將會自動下載;
- 可選搜尋引擎變更;
- 為特定檔案型別設定開啟應用;
- 安全修正等
Linux 核心發現易於利用的 dirty pipe 漏洞
Web 託管公司 IONOS 的 Max Kellermann 在多次收到客戶投訴日誌伺服器上的日誌檔案損壞之後展開了調查,發現 Linux 核心存在一個高危漏洞,與數年前曝出的 DirtyCow 提權漏洞類似,但更容易利用。他將該漏洞命名為 irty pipe。
dirty pipe 存在於 Linux 5.8 之後的版本中,是未初始化變數導致的,它允許任何人向任意檔案寫入資料,即使檔案是 O_RDONLY 或不可改變。它能被用於向任意程式注入程式碼。Linux 5.16.11、5.15.25 和 5.10.102 修復了該漏洞。
Google Chrome 100 Beta 釋出
Google 在 Chromium 部落格文章中寫道:
"Chromium 100 將是最後一個預設支援未減少的使用者代理字串(UA)的版本(以及相關的 navigator.userAgent、navigator.appVersion 和 navigator.platform DOM API)。允許網站測試 User-Agent 的起源試驗將於 2022 年 4 月 19 日結束。在該日期之後,使用者代理字串將逐漸減少"。
Visual Studio 2022 v17.1.1 釋出,修復多個漏洞
Visual Studio 2022 v17.1.1 正式釋出,更新內容如下:
來自開發者社群
- 修復了當在自定義命令中使用 CONFIG 時,17.1.0 版本中 CMake->vcxproj 的迴歸問題
- 修復了 VSSDK API 的故障,該問題會引發 IDE 崩潰或掛起
安全
- CVE-2020-8927:NET 5.0 和 .NET Core 3.1 中存在一個遠端程式碼執行漏洞,其中在 1.0.8 之前的 Brotli 庫版本中存在緩衝區溢位。
- CVE-2022-24464:在分析某些型別的 http 表單請求時,.NET 6.0、.NET 5.0 和 .NET CORE 3.1 中存在拒絕服務漏洞
- CVE-2022-24512:.NET 6.0、.NET 5.0 和 .NET Core 3.1 中存在遠端程式碼執行漏洞,.NET Double Parse 例程中發生堆疊緩衝區溢位。
- CVE-2021-3711:OpenSSL 中存在潛在的緩衝區溢位漏洞,該漏洞由 Git for Windows 導致,將 Git for Windows 更新到版本 2.35.1.2 可解決此問題。
React 18 首個 RC 版本釋出
React 18 首個 RC 版本已釋出。按照計劃,正式版將於 2~4 周後推出。
React 18 引入了 “併發渲染 (concurrent rendering)” 機制,它支援 React 同時準備多個版本的 UI。這個機制主要在幕後進行,但它為 React 啟發了非常多新的可能性,以提升應用程式的真實與感知效能。
此外,React 18 還針對現有應用程式提供了漸近的採用策略。
主要更新內容
- 客戶端渲染 API 的更新
- 伺服器端渲染 API 的更新
- 自動批處理 (Automatic Batching)
- 更新嚴格模式 (Strict Mode)
- 不再支援 IE 瀏覽器
- 更新以刪除 “setState on unmounted component” 警告
- Suspense 不再需要 fallbackprop 來捕捉
- 元件現在可以在未定義的狀態下進行渲染
- 棄用 renderSubtreeIntoContainer
- StrictMode 更新為預設情況下不會靜默雙重日誌記錄