傳奇程式設計師 John Carmack 怒斥 Meta；微軟將永久禁用 IE；Okta 私有程式碼庫被入侵｜思否週刊

40S 新聞速遞

傳奇程式設計師 John Carmack 離開 Meta，怒斥公司低效
NIST 建議 2030 年底前淘汰 SHA-1 加密演算法
微軟將於 2023 年 2 月 14 日永久禁用 IE
Google 蘋果 Mozilla 合作構建新瀏覽器基準測試
Okta 私有程式碼庫被入侵，原始碼被盜
微軟宣佈禁止使用其雲服務進行挖礦，除非有書面許可
新款蘋果 MacBook Pro 將在 2023 年初推出
Valve 付費給 Steam Deck 軟體的開源開發者
Apache Traffic Server 存在拒絕服務漏洞
Spring Cloud 2022.0.0 正式釋出，代號 "Kilburn"
Gccrs 程式碼合併到 GCC 13 主支
Firefox 108 釋出
Linux Mint 21.1 釋出

行業資訊

傳奇程式設計師 John Carmack 離開 Meta，怒斥公司低效

據報導，遊戲行業老兵約翰·卡馬克（John Carmack）剛剛從Meta Platforms的虛擬現實部門離職，原因是他對該部門的緩慢程式感到不滿，而且與 Meta 創始人馬克·祖克伯（Mark Zuckerberg）在戰略方面存在分歧。卡馬克在他的離職備忘錄中表示，他長期以來都對Meta虛擬現實部門糟糕的運營效率感到沮喪，他覺得自己從來都沒有足夠的能力向正確的方向施加影響。

NIST 建議 2030 年底前淘汰 SHA-1 加密演算法

美國國家標準與技術研究院（NIST）宣佈 SHA-1 演算法已經抵達壽命終點，建議使用者儘快遷移到 SHA-2 或 SHA-3。NIST 的安全專家稱，今天日益強大的計算機很容易破解 SHA-1 演算法，它應在 2030 年 12 月 31 日之前被淘汰。SHA-1 是在 1995 年作為美國聯邦資料處理標準（FIPS PUB 180-1 釋出的，Google 在 2017 年宣佈了對 SHA-1 雜湊演算法的首個成功碰撞攻擊。所謂碰撞攻擊是指兩個不同的資訊產生了相同的雜湊值，當時實現碰撞攻擊需要耗費大量計算資源。但到了 2020 年研究人員將攻擊成本降至 4.5 萬美元，並預測未來成本會越來越低。

微軟將於 2023 年 2 月 14 日永久禁用 IE

微軟宣佈將對其 IE 終結計劃進行一點小小的調整。根據更新的官方文件，微軟將透過 Edge 更新來殺死 IE，而不是之前以為的 Windows Update。這款 “ 軟體炸彈補丁 ” 將於 2023 年 2 月 14 日釋出，它將幫助企業 “確保從 IE 瀏覽器到 Microsoft Edge 的過渡更絲滑、更方便 ”。根據微軟的說法，後續還將於 5 月23 日 ( 可選 ) 和 6 月釋出非安全更新 ( 強制 ) 來強行刪除電腦上的 IE 11 圖示。

Google 蘋果 Mozilla 合作構建新瀏覽器基準測試

三大存在競爭關係的瀏覽器開發商 Google、蘋果和 Mozilla 合作構建新瀏覽器基準測試 Speedometer 3。為了防止新工具偏向任意一家，Speedometer 的治理政策要求任何重大變更都需要另外兩家公司的批准，非重大變更需要另外兩家公司之一的批准，三家公司的任意一位評審者可以同意對一個“微小變更”開綠燈。Speedometer 3 將是主要由蘋果 WebKit 團隊開發的 Speedometer 2 的後續，目前處於早期開發階段。開發者建議在專案進一步開發之前繼續使用 Speedometer 2.1。

Okta 私有程式碼庫被入侵，原始碼被盜

身份認證管理服務商 Okta 在一封名為機密資訊的郵件中證實它在 GitHub 的私有程式碼庫被入侵原始碼被盜。Okta 今年發生了多起安全事故，早些時候駭客組織 Lapsus$ 聲稱訪問了 Okta 管理終端和部分客戶資料。最新這起事故是 GitHub 最早發現的，它警告 Okta 其程式碼庫有可疑訪問。隨後的調查發現駭客複製了該公司私有庫的原始碼，但沒有未經授權訪問了該公司的系統或客戶資料。駭客訪問了 Okta Workforce Identity Cloud (WIC)程式碼庫。該公司表示將在公司部落格上公佈更多資訊。

微軟宣佈禁止使用其雲服務進行挖礦，除非有書面許可

微軟在其 12 月 1 日生效的線上服務通用許可條款的更新中，加入了“禁止使用其線上服務挖掘加密貨幣”禁令，並表示這樣做是為了保護使用其雲服務的客戶。目前該禁令涉及其公司多個線上服務，主要是 Azure 雲端計算服務。微軟的許可表示，未經微軟書面許可，客戶或者透過客戶訪問線上服務的客戶均不得使用線上服務挖掘數字貨幣。據悉，微軟並不是唯一一家禁止未經許可使用雲服務進行加密貨幣開採的公司，之前谷歌、亞馬遜、Oracle 都禁了雲服務挖礦。

新款蘋果 MacBook Pro 將在 2023 年初推出

蘋果公司計劃在明年初發布配備 M2 Pro 和 M2 Max 晶片的 14 英寸和 16 英寸 MacBook Pro 新機型。目前採用 M1 Pro 和 M1 Max 晶片的 14 英寸和 16 英寸 MacBook Pro 機型於 2021 年 10 月釋出，採用了全新的設計，螢幕上有一個劉海，並恢復了 HDMI 埠、MagSafe 和 SD 讀卡器。據 Gurman 稱，蘋果還在繼續測試採用 M2 和 M2 Pro 晶片的新 Mac mini 機型，但他沒有分享推出的時間框架。

Valve 付費給 Steam Deck 軟體的開源開發者

Linux 掌機 Steam Deck 利用了大量開源軟體，作業系統是基於 Arch Linux，桌面環境 KDE Plasma，其它還有 Mesa 驅動和 Vulkan API，以及 Wine 的分支 Proton 相容層。Valve 也知道 Steam Deck 的成功離不開開源軟體和開源開發者。該公司的設計師在接受採訪時透露，Valve 向逾百名開源開發者支付了薪水。這些開發者應該不是 Valve 的僱員。設計師稱，此舉是 Valve 總體 Linux 遊戲戰略的一部分，也就是讓 Linux 在遊戲領域成為 Windows 的可行替代。Linux 核心作者 Linus Torvalds 曾經說過，Valve 將拯救 Linux 桌面。也許 2023 年要成為 Linux 桌面年。

Apache Traffic Server 存在拒絕服務漏洞

Apache Traffic Serve（ATS）是一個開源的 HTTP/1.1 和 HTTP/2 快取代理伺服器，uri_signing 是 ATS 的一款 URI 簽名外掛，用來阻止所有不具有有效 JWT 的請求。Apache Traffic Server 的受影響版本中存在拒絕服務漏洞，漏洞源於 validate_jws 方法未對 JWT token 中的 iss 欄位進行有效驗證，導致 ATS 服務在解析缺少 iss 欄位的 JWT token 時由於空指標異常而崩潰。當 ATS 伺服器啟用 uri_signing 外掛時，ATS 客戶端使用者可透過向伺服器傳送惡意構造的 JWT token 造成拒絕服務並自動重啟。

傳奇程式設計師 John Carmack 怒斥 Meta；微軟將永久禁用 IE；Okta 私有程式碼庫被入侵｜思否週刊

40S 新聞速遞

行業資訊

傳奇程式設計師 John Carmack 離開 Meta，怒斥公司低效

NIST 建議 2030 年底前淘汰 SHA-1 加密演算法

微軟將於 2023 年 2 月 14 日永久禁用 IE

Google 蘋果 Mozilla 合作構建新瀏覽器基準測試

Okta 私有程式碼庫被入侵，原始碼被盜

微軟宣佈禁止使用其雲服務進行挖礦，除非有書面許可

新款蘋果 MacBook Pro 將在 2023 年初推出

Valve 付費給 Steam Deck 軟體的開源開發者

Apache Traffic Server 存在拒絕服務漏洞

最新技術動態

QT 6.5 Beta 釋出

Spring Cloud 2022.0.0 正式釋出，代號 "Kilburn"

Gccrs 程式碼合併到 GCC 13 主支

Firefox 108 釋出

Linux Mint 21.1 釋出

相關文章