OpenSSH服务器漏洞:CVE-2024-6387相关问题披露 (www.openwall.com)
本文披露了OpenSSH服务器中与CVE-2024-6387相关的漏洞CVE-2024-6409。CVE-2024-6409是OpenSSH 8.7和8.8版本中由于信号处理的竞争条件导致的远程代码执行漏洞,主要影响Red Hat等发行版中包含OpenSSH特定补丁的版本。漏洞存在于使用受限权限运行的privsep子进程中,虽然直接影响较小,但在某些情况下可能比CVE-2024-6387更容易被利用。文章详细分析了漏洞成因、影响范围以及与CVE-2024-6387的区别,并提供了修复建议。
领势 Velop 路由器将 Wi-Fi 密码以明文形式发送到美国服务器 (stackdiary.com)
比利时消费者协会 Testaankoop 发现,领势 Velop Pro 6E 和 Velop Pro 7 路由器在安装过程中会将 Wi-Fi 登录名和密码等信息以明文形式发送到美国的亚马逊服务器,这可能导致中间人攻击。尽管 Testaankoop 在去年 11 月就警告了领势,但问题至今仍未解决。Testaankoop 怀疑安全问题可能源于领势固件中使用的第三方软件,并建议已购买受影响路由器的用户更改 Wi-Fi 网络名称和密码。
文档即代码 (www.writethedocs.org)
“文档即代码”(Docs as Code)是一种理念,主张使用与编写代码相同的工具来编写文档,例如版本控制、纯文本标记语言、代码审查和自动化测试。这种方法将文档编写整合到产品开发流程中,使编写者和开发者共同拥有文档的所有权,从而提高文档质量。Docs as Code的优势包括:更好地整合编写者和开发者、鼓励开发者编写文档、确保新功能包含文档等。
另一家AI公司联系我们,这是我们的回应 (warandpeas.com)
漫画家组合“战争与豌豆”收到一家AI公司的合作邀请,该公司声称可以用AI生成漫画故事,帮助漫画家摆脱创作负担。但“战争与豌豆”拒绝了这封邀约,并指出AI是利用创作者的作品训练模型,没有经过创作者的同意,也没有给予创作者应有的补偿,并且用AI替代创作是对艺术的损害。
两位前 Humane 高管离职创办 AI 事实核查初创公司 (techcrunch.com)
Humane 的两位前高管,Brooke Hartley Moy 和 Ken Kocienda,在 Humane 公司发展陷入困境后,选择离开并创办了自己的人工智能事实核查初创公司 Infactory。Infactory 将专注于数据领域的企业级订阅服务,旨在为新闻机构和研究机构提供准确可靠的信息核查服务。
Etsy取消“手工制作”和“古董”标签,正面迎战Temu和亚马逊 (www.theverge.com)
/cdn.vox-cdn.com/uploads/chorus_asset/file/23985512/acastro_STK091_01.jpg)
Etsy平台一直以销售手工制作和古董商品而闻名,但近日宣布将以四种全新商品分类取而代之,分别为“自己制作”、“自己设计”、“自己挑选”和“他人供货”。此次调整旨在应对来自Temu等超低价在线零售商的竞争,并区分AI生成内容与人工创作。新分类将更加详细地展示商品制作方式和卖家参与程度,以期消除买家疑虑,并安抚长期以来抱怨平台充斥着代发货和机器制造商品的手工艺人。
微软天气应用充斥广告惹争议 (www.ghacks.net)
微软天气应用近日因广告投放策略引发用户不满。该应用在多个页面新增了固定广告,即使滚动屏幕也无法隐藏。此前,微软曾移除过该应用内的广告,但如今广告又卷土重来,且数量更多,引发用户对其广告策略和用户体验的质疑。
Evolve银行和信托公司遭受LockBit攻击,760万人数据泄露 (www.theregister.com)
美国Evolve银行和信托公司确认,在5月底遭受LockBit勒索软件攻击事件中,超过760万客户的数据被盗。这是Evolve首次确认数据泄露的规模,受影响的包括其至少三家主要合作伙伴(过去和现在)。该公司预计,随着调查的继续,这一数字还会上升。受影响的个人将获得24个月的信用监控服务。
RADIUS/UDP协议易受改进MD5碰撞攻击 (blog.cloudflare.com)
RADIUS(远程身份验证拨入用户服务)是一种广泛使用的身份验证协议,常用于网络设备的远程访问。然而,RADIUS/UDP协议中使用过时的MD5加密算法,容易受到改进的MD5碰撞攻击。研究人员开发了一种名为“Blast-RADIUS”的攻击,可以利用MD5的弱点,将拒绝访问的数据包更改为接受访问的数据包,从而获得对网络设备的未授权访问权限。该攻击利用了RADIUS响应验证器中的缺陷,并通过将恶意数据插入可选的Proxy-State属性来实现攻击。为了应对这种攻击,建议网络运营商升级到支持RADIUS over TLS(RADSEC)的设备,或使用HMAC-MD5消息验证器来保护RADIUS/UDP通信。
MobileLLM:面向设备端应用的十亿级参数以下语言模型优化 (github.com)
MobileLLM 是一种针对设备端应用优化的子十亿级参数语言模型,该模型在 ICML 2024 上发表的一篇论文中进行了介绍。该模型采用 SwiGLU 激活函数、深而窄的架构、嵌入共享和分组查询注意力机制等多种设计因素,以构建高质量的小型语言模型。MobileLLM-125M/350M 在零样本常识推理任务上比之前的 125M/350M SoTA 模型实现了 2.7%/4.3% 的显著准确率提升。
死亡后恢复循环可保存器官以供移植 (www.npr.org)
文章探讨了一种名为“常温区域灌注”(NRP)的新型器官获取技术。该技术在患者被宣布心脏和循环停止死亡后,通过外部泵恢复血液流动,从而保持器官供氧,提高移植成功率。支持者认为NRP可以缓解器官短缺,并改善移植效果。然而,批评者担心该技术模糊了死亡的定义,引发了伦理争议。
GenBook RK3588:即将推出模块化开源 ARM 笔记本电脑 (www.crowdsupply.com)
GenBook RK3588 是一款即将推出的开源笔记本电脑,搭载瑞芯微 RK3588 芯片,拥有高达 32GB 内存和 DIY 扩展功能。它采用模块化设计,支持用户升级组件,例如更换 SoM、安装更大容量的 SSD 和更高性能的 Wi-Fi 模块。GenBook RK3588 性能强劲,能够同时驱动三台显示器,支持运行 Ubuntu、Debian 等多种开源操作系统,并预装 Debian 11 系统。
如果击落送货无人机,会发生什么? (techcrunch.com)
随着亚马逊、谷歌和沃尔玛等资金雄厚的公司投资和试验无人机送货,一种反映这个现代时代的现象已经出现:无人机在运送零食和其他杂物时被击落。佛罗里达州最近发生的一起案件中,一名男子涉嫌击落一架沃尔玛无人机,这引发了人们的疑问,即法律后果是什么,以及如果此类事件变得更加普遍,这些后果是否会升级。虽然无人机送货在美国越来越普遍,但无人机被击落的法律后果仍不清楚。联邦航空管理局可以对肇事者处以罚款和最高 20 年的监禁。
PySkyWiFi:在长途航班上实现完全免费且极其愚蠢的Wi-Fi (robertheaton.com)
本文介绍了作者如何利用航空里程账户的漏洞,在长途航班上实现免费上网的项目PySkyWiFi。作者详细描述了项目的技术细节,包括如何利用航空里程账户的姓名字段传输数据,以及如何将HTTP请求和响应压缩传输。作者还提供了一些技巧,例如使用base26编码信息以绕过航空里程账户的字符限制,以及使用多个账户字段来提高带宽。
Windows on Arm 来了,并将继续存在 (spectrum.ieee.org)
高通骁龙 X 芯片的推出,标志着 Windows 世界发生了重大转变,Arm 架构笔记本电脑性能和续航均取得突破。尽管微软 Copilot Plus PC 推出时遭遇 AI 功能召回的尴尬,但骁龙 X 凭借其在性能、效率和电池续航方面的优势,赢得了业界赞誉。未来,更多 Arm 芯片制造商将加入,Windows PC 芯片市场竞争将更加激烈,开发者也将面临为不同架构优化软件的挑战。
GitHub - zherczeg/sljit: 平台无关的低级 JIT 编译器 (github.com)
SLJIT是一个低级、机器无关的JIT编译器,适用于将解释型字节码转换为机器码。它支持多种目标架构,包括x86、ARM、RiscV、s390x、PowerPC、LoongArch和MIPS。SLJIT提供了丰富的功能,包括支持自修改代码、尾调用、快速调用、字节序反转、非对齐内存访问、SIMD/原子操作等。
微软宣布将在Microsoft Teams中停用Office 365连接器 (devblogs.microsoft.com)
微软宣布将从2024年8月15日起,逐步停用Microsoft Teams中的Office 365连接器功能,并推荐用户使用Power Automate workflows作为替代方案。Power Automate workflows不仅提供更丰富的连接器目录,还能确保集成架构的灵活性和安全性,满足不断增长的业务需求。文章还提供了从Office 365连接器迁移到Power Automate workflows的详细步骤。
超越缓冲膨胀:端到端拥塞控制无法避免延迟峰值 (blog.apnic.net)
本文讨论了互联网端到端拥塞控制方法(如TCP和QUIC)的一个局限性:即使在最佳情况下,当网络链路容量发生变化时,这些方法也无法避免延迟峰值。作者通过数学模型证明,即使消除了缓冲膨胀,网络拥塞仍然会导致延迟。文章还探讨了几种解决延迟峰值的方案,包括预测容量变化、降低链路利用率、区分对待不同流量以及链路多样化。
玲珑推出折叠迷你键盘形态PC:搭载AMD Ryzen处理器,售价约合人民币2999元起 (www.tomshardware.com)
中国PC制造商玲珑推出了一款可折叠迷你键盘形态PC,搭载AMD Ryzen 7 8840U处理器、16GB/32GB内存、512GB/1TB固态硬盘,配备触控板、电池,续航最长可达10小时,售价2999元起。该产品主打移动办公,需连接外部显示器使用,玲珑建议用户搭配AR或VR眼镜使用。
研究发现:一些垃圾填埋场的“排气”含有空气传播的PFAS (phys.org)
研究发现,垃圾填埋场中分解的有机物产生的气体排放,可能会将全氟和多氟烷基物质(PFAS)释放到空气中。研究人员对佛罗里达州三个垃圾填埋场排放的气体进行了分析,发现其中一些氟调聚醇的含量比之前在其他垃圾填埋场进行的研究高出两个数量级。研究人员还发现,通过气体排放离开垃圾填埋场的氟含量(作为PFAS含量的代表)可能与通过渗滤液离开的量相似,甚至更高。
单文件Linux系统 (hub.zhovner.com)
OneFileLinux是一个将Linux发行版整合到一个约20MB文件中的项目。它可以在任何UEFI计算机(PC或Mac)上运行,无需安装,只需将文件复制到EFI系统分区并启动即可。该项目的主要优点是不需要安装,无需创建额外的分区,可以直接从系统磁盘启动,不需要引导管理器,不改变引导顺序,并兼容磁盘加密。
Smalltalk 到 WebAssembly 的动态翻译 (thiscontext.com)
文章介绍了如何将 Smalltalk 语言动态翻译成 WebAssembly (WASM) 格式,并在 Web 浏览器中运行。作者详细解释了 Smalltalk 编译方法的转录过程,以及如何将 Smalltalk 指令转换为 WASM 指令。文章以一个简单的例子 “3+4” 演示了转换过程,并展示了如何定义 WASM 类型以表示 Smalltalk 虚拟机结构。最后,作者展望了未来将对 WASM 代码的运行机制以及性能进行进一步探讨。
内联显示 Edebug 上一次的结果以及为什么你应该使用 Edebug (xenodium.com)
本文介绍了作者如何利用 Emacs Lisp 的调试器 Edebug 的“内联结果”功能,使调试过程更加高效。作者通过修改 `edebug-compute-previous-result` 和 `edebug-previous-result` 这两个函数,将调试结果直接显示在代码的当前行,避免了视线在代码和迷你缓冲区之间来回跳转的问题。
微软旗下广告平台Xandr被曝GDPR合规率为0% (noyb.eu)
微软旗下广告平台Xandr被曝以0%的比率授予GDPR权利。该平台收集和共享数百万欧洲人的个人数据,用于定向广告,但其对访问和删除请求的回复率却为0%。此外,Xandr持有的用户信息准确性堪忧,包含大量虚假信息,例如将同一个人同时标记为男性和女性,拥有多个年龄段和收入水平等。noyb已向意大利数据保护局提起诉讼,指控Xandr违反GDPR的多项条款。
Crawlee for Python:快速可靠的爬虫 (crawlee.dev)
Crawlee for Python 是一个快速可靠的网页抓取和浏览器自动化库,可以帮助你更快地构建和维护爬虫。它支持使用 Playwright 进行无头浏览器操作,并提供自动扩展、代理管理、类型提示等功能,方便开发者使用。
氦气密封硬盘的竞赛:对不可能的追求 (blog.westerndigital.com)
文章讲述了氦气密封硬盘技术从构想到最终实现商业化的艰难历程。文章详细介绍了IBM工程师Barry Stipe如何克服重重困难,找到利用激光焊接技术密封氦气的办法,以及日立工程师Akihiko Aoyagi如何解决量产难题,最终使得这项技术成功应用于商业产品。
神经科学与学习发展:克服变革阻力 (www.sanaross.com)
文章探讨了如何运用神经科学的知识来克服职场中对变革的阻力。作者指出,大脑天生抗拒改变,但可以通过创造安全的学习环境、庆祝小的胜利和引入新颖的学习体验来缓解这种抗拒。文章建议领导者应将神经科学的见解融入学习发展项目中,以培养持续学习和适应的文化。
理论计算机科学中的“僵尸”错误观念 (scottaaronson.blog)
本文探讨了理论计算机科学中一种常见的错误观念,即混淆了适用于无限序列和函数的概念与适用于单个整数和开放问题的概念。作者以计算理论中的可计算性概念为例,指出像 Busy Beaver 函数的值虽然是不可计算的,但这并不意味着像 BB(6) 这样的单个整数是不可计算的,因为总存在一个程序可以输出特定的整数。作者强调,这种错误观念源于对可计算性概念的误用,它忽略了可计算性是关于程序是否存在,而不是关于找到或编写程序的难度。