微软Dynamics 365被指责进行“员工监控” (www.theregister.com)
微软Dynamics 365的“现场服务管理”功能允许客户通过智能手机应用程序监控移动服务人员,据称损害了他们的自主性和尊严。该软件被指责为通过算法管理削弱员工权力的更广泛应用的一部分,允许雇主跟踪移动员工的工作内容、时间、地点以及收集许多其他数据点,导致员工自由裁量权、自主性和目标感下降。
Vanilla OS 2:一款界面友好、内核激进的新发行版 (www.theregister.com)
Vanilla OS 2“Orchid”是一款实验性的Linux发行版,它基于Debian Sid,采用了许多新技术,例如不可变根文件系统、A/B分区更新、跨发行版打包等。它支持Flatpak、Alpine、Debian、Fedora、Arch和openSUSE软件包,并声称支持AppImage格式和基于Waydroid的Android运行时。尽管Vanilla OS 2看起来很有前景,但它目前还处于早期阶段,许多功能尚未完成或无法正常工作。
马来西亚将推出互联网“终止开关” (www.theregister.com)
马来西亚法律与体制改革部长表示,将于10月份向国会提交互联网“终止开关”立法。该法案旨在加强数字安全,要求社交媒体平台和互联网信息服务提供商对其产品在网络犯罪中的作用承担更多责任。此外,马来西亚还将制定法规,对网络欺凌进行分类和定义,并采取执法措施。
空格键就能攻破 Meta 的 AI 安全系统 (www.theregister.com)
Meta 用于检测提示注入攻击的机器学习模型 Prompt-Guard-86M 本身就容易受到提示注入攻击。任何人都可以通过在字母之间添加空格并省略标点符号,就可以绕过 Prompt-Guard-86M 的安全防御机制,使其无法检测到潜在的有害内容。
中国考虑创建国家网络身份 (www.theregister.com)
中国正在考虑为其公民发放“网络空间身份证”。根据国务院发布的通知,该政策尚处于征求意见阶段,尚未确定是否会实施。该身份证旨在“保护公民个人信息,规范网络身份认证公共服务,加快推进网络可信身份战略的实施”。身份证将采用两种形式:一种是字母和数字序列,另一种是在线凭证。两者都将与公民的真实身份相对应,但不会以明文形式显示任何细节。该草案由公安部和国家互联网信息办公室(CAC)起草。该草案明确表示,身份证将是自愿的,并将消除公民向互联网服务提供商(ISP)提供其真实个人信息的需要。
25年前,美国宇航局险些失去一架航天飞机 (www.theregister.com)
本文讲述了25年前,美国宇航局的哥伦比亚号航天飞机在执行STS-93任务时,险些发生灾难的故事。在发射过程中,该航天飞机遭遇了一系列问题,包括发动机故障、传感器故障和电路短路等。幸运的是,由于一系列偶然因素和工程师的出色应对,航天飞机最终成功发射并完成了任务。
安全启动主密钥泄露,数百款主流厂商电脑形同虚设 (www.theregister.com)
安全厂商Binarily的研究人员发现,戴尔、宏碁、富士通、技嘉、惠普、联想和超微销售的数百款电脑,以及英特尔销售的组件,都在使用疑似是2022年泄露的一个已有12年历史的测试平台密钥 (PK) 来保护其UEFI安全启动的实现。攻击者可以利用该密钥在启动过程中运行不受信任的代码,即使启用了安全启动。
GitHub 遭质疑:删除的代码库数据仍可访问 (www.theregister.com)
Truffle Security 的研究人员发现,从 GitHub 上删除的代码仓库(无论是公共的还是私有的),以及从已删除的代码仓库副本(forks)中删除的数据,并不一定会被真正删除。这一问题源于 Git 中的“悬空提交”(dangling commit),即删除分支只会移除对特定提交链的引用,而提交本身并不会从代码仓库的对象数据库中删除。研究人员发现可以通过 GitHub 的 fork 功能访问这些悬空提交,即使父仓库已被删除,并且只需要知道提交标识符的前四个字符即可。
条形码扫描器如何帮助快速修复 CrowdStrike 故障 (www.theregister.com)
在澳大利亚审计和税务咨询公司 Grant Thornton 的 Windows 电脑和服务器于上周五开始出现蓝屏死机后不久,高级系统工程师 Rob Woltz 想起了一个小而重要的事实:电脑在启动时,会将条形码扫描器视为键盘。这一知识点在该公司试图弄清楚如何应对 CrowdStrike 造成的混乱时变得非常重要,该混乱导致 Grant Thornton Australia 的数百台电脑和不少于 100 台服务器陷入了 CrowdStrike 测试软件导致的死循环。
甲骨文Java用户争相寻求替代方案 (www.theregister.com)
一项研究显示,在甲骨文引入基于员工的订阅模式后,只有14%的甲骨文Java用户计划继续使用其运行时环境。此次调查由独立市场研究公司Dimensional Research开展,访问了663名Java用户。研究发现,86%的受访者正在或计划将其部分或全部Java应用程序迁移出甲骨文环境,其中53%的受访者表示甲骨文环境过于昂贵。专家警告称,甲骨文新的定价模式将导致使用成本大幅上涨。
基于 Arch 的 CachyOS 系统:速度的承诺与现实的差距 (www.theregister.com)
CachyOS 是一个基于 Arch Linux 的发行版,旨在优化性能,提供更简单的安装程序和众多桌面环境选择。然而,尽管该系统针对追求性能的用户,但实际体验却充满了挑战。安装过程缓慢,且必须联网下载软件包,对网络连接有限的用户极其不友好。此外,安装程序在引导加载程序安装等方面存在问题,导致安装失败。虽然系统提供了多种桌面环境选择,但部分环境存在稳定性问题。总的来说,CachyOS 在追求性能的同时牺牲了稳定性和易用性。
CrowdStrike CEO 被要求就全球 IT 故障作证 (www.theregister.com)
CrowdStrike 公司 CEO George Kurtz 被美国国土安全委员会要求就其软件更新故障引发的全球 IT 混乱事件作证。该事件导致全球范围内数百万台 Windows 设备瘫痪,航空、医疗、银行等关键领域服务中断。委员会要求 Kurtz 对事件进行详细说明,并解释 CrowdStrike 采取的缓解措施。
中国研究人员打造出仅4克重的无人机 (www.theregister.com)
中国研究人员日前开发出一种重量仅略高于4克的无人机,其重量甚至低于一张打印纸,而且有可能无限期飞行。这款无人机采用静电马达,重量仅为1.52克,由产生4.5V电压的太阳能电池供电。据称,该无人机的设计使其升力功率比传统无人机高出两到三倍。研究人员表示,如果添加可充电电池,该无人机将能够持续飞行24小时。
CrowdStrike安全软件导致Linux系统崩溃 (www.theregister.com)
继上周导致大量Windows电脑宕机后,安全公司CrowdStrike的Falcon Sensor软件也被曝出引发Linux系统崩溃。红帽公司在6月就曾警告其客户,称在启动Red Hat Enterprise Linux 9.4时,Falcon Sensor进程会导致内核崩溃。该问题波及版本6和7,并可能影响Debian和Rocky Linux系统。CrowdStrike尚未对此事作出回应。
德州建筑公司对SpaceX提起大量留置权 (www.theregister.com)
自2019年以来,超过20家建筑公司和供应商针对SpaceX及其承包商,在德克萨斯州提起了至少72项留置权,总额至少达250万美元。这些债务涉及SpaceX在德州进行火箭制造设施和住房扩张项目中,拖欠企业的款项。尽管有些留置权已经得到解决,但仍有许多小企业和供应商抱怨SpaceX拖欠款项,并表示不愿与其再次合作。
CrowdStrike软件故障导致全球IT系统瘫痪 (www.theregister.com)
网络安全公司CrowdStrike的一份错误配置文件引发了全球IT系统故障,导致航空公司、医疗机构、银行等多个行业的服务中断。受影响的机构包括美国联邦航空管理局、英国国家医疗服务体系、伦敦证券交易所等。CrowdStrike已经发布了临时解决方案,但许多客户仍然受到影响。此次事件凸显了全球IT系统对单一供应商的依赖所带来的风险。
欧盟2025年“地平线”计划取消对开源软件的资助 (www.theregister.com)
欧盟的“地平线”计划将从2025年开始取消对开源软件 (FOSS) 的资助,引发了开源倡导者的担忧。开源软件联盟OW2的首席执行官Pierre-Yves Gibello在一封公开信中敦促欧盟重新评估这一决定,他认为开源软件对保护欧洲利益至关重要。Gibello指出,欧盟此前的“下一代互联网”(NGI)计划在支持开源软件方面发挥了重要作用,取消资助将损害欧洲的技术创新和网络安全。
台积电CEO预测AI芯片短缺将持续到2025年甚至2026年 (www.theregister.com)
台积电CEO魏哲家在2024年第二季度财报电话会议上预测,先进芯片的供应要到2025年或2026年才能满足需求。尽管客户需求旺盛,但他仍在努力解决这个问题,并尽可能地增加供应。他还表示,台积电正在与海外合作伙伴合作,以增加供应和支持客户,海外扩张计划不会改变。
微软开发全新工具,利用大型语言模型分析电子表格 (www.theregister.com)
微软研究院开发了一种名为 SpreadsheetLLM 的框架,旨在使大型语言模型 (LLM) 更容易分析电子表格内容并执行数据管理和分析任务。该工具通过序列化数据、压缩数据和微调 LLM 来解决电子表格格式和 LLM token 限制带来的挑战,从而提高效率并为用户交互提供新的可能性。
格芯获4亿美元资金,将在德克萨斯州和密苏里州建设美国首批300毫米晶圆厂 (www.theregister.com)
美国政府将根据《芯片法案》向格芯提供高达4亿美元的资金,用于资助其在德克萨斯州和密苏里州的300毫米晶圆制造厂。德克萨斯州的工厂将是美国首家300毫米晶圆制造厂,而密苏里州的工厂将生产用于国防和航空航天应用的绝缘体上硅(SOI)300毫米晶圆。这两个工厂总共将耗资约40亿美元,这意味着《芯片法案》提供的最高奖励将高达预算的10%。
MySQL 9 未能获得部分数据库专家的认可 (www.theregister.com)
MySQL 最新版本发布后,一些评论员感到失望,他们担心 MySQL 的管理者甲骨文公司可能另有打算。MySQL 9.0 被定位为“创新版本”,但一些专家认为,该版本缺乏创新功能,许多更具创新性的功能仅在付费版本中提供。一些专家担心甲骨文公司可能将重点放在了其专有分析数据库 Heatwave 上,而非 MySQL 上。
基于自拍的身份验证引发信息安全专家的担忧 (www.theregister.com)
随着疫情后越来越多的业务转向数字化,使用自拍进行在线身份验证在一些地区成为一种新趋势。然而,这种做法也引发了安全专家的担忧。例如,越南强制要求手机银行应用程序使用面部扫描进行身份验证,但当地媒体和专家对此表示怀疑,认为自拍并不能提高安全性。此外,新加坡也出现了大量包含自拍的身份证明文件在暗网上泄露的事件。专家指出,仅仅依靠静态的自拍进行身份验证并不可靠,应该采用更安全的活体检测技术。
美国网络安全和基础设施安全局 (CISA) 入侵联邦机构,五个月未被发现 (www.theregister.com)
美国网络安全和基础设施安全局 (CISA) 对一个未透露名称的联邦机构进行红队演习,发现该机构存在一系列安全漏洞,导致其最关键的资产暴露。CISA 的红队成功利用了目标机构 Oracle Solaris 飞地中一个未修补的漏洞,获得了初始访问权限。尽管 CISA 在几周后通知了该机构,但该机构花了超过两周的时间才应用可用的补丁。此外,CISA 的红队还能够通过网络钓鱼攻击进入该机构的 Windows 网络,并获得了对高度敏感系统的访问权限。令人担忧的是,该机构在长达五个月的时间内都没有发现 CISA 的任何活动,这引发了人们对其发现真正恶意活动能力的担忧。
安卓15测试版新增可选桌面模式 (www.theregister.com)
安卓15测试版中引入了一项可选的桌面模式功能,允许用户将手机连接至显示器并以桌面环境使用。该功能并非首次出现,三星Dex模式已存在多年,安卓10也曾短暂出现过隐藏的桌面模式。随着USB-C接口的普及和手机硬件性能的提升,该功能在安卓15上可能迎来更广泛的应用。
Xen项目面临危机:托管测试平台的托管服务提供商即将关闭 (www.theregister.com)
开源Xen管理程序的创建者和管理者Xen项目警告其社区,由于其使用的托管设施即将关闭,可能会出现潜在问题。Xen项目用于检查其代码的定制工具OSSTest的实例可能会中断,预计关闭日期为2024年10月31日。该项目正在考虑的选择包括:将现有硬件迁移到不同的托管服务提供商、从头开始重新创建OSSTest或切换到不同的测试系统。
法官驳回 GitHub Copilot 案中有关 DMCA 版权的诉讼请求 (www.theregister.com)
美国加州地区法官乔恩·蒂加(Jon Tigar)驳回了开发者对 GitHub Copilot 提出的多项诉讼请求,其中包括一项关键的 DMCA 版权主张。开发者声称 Copilot 非法复制其代码,但法官认为 Copilot 建议的代码与开发者受版权保护的作品“不够一致”,因此 DMCA 1202(b) 条款不适用。目前该案中只剩下两项指控:一项是违反开源许可证的指控,另一项是违反合同的指控。
Evolve银行和信托公司遭受LockBit攻击,760万人数据泄露 (www.theregister.com)
美国Evolve银行和信托公司确认,在5月底遭受LockBit勒索软件攻击事件中,超过760万客户的数据被盗。这是Evolve首次确认数据泄露的规模,受影响的包括其至少三家主要合作伙伴(过去和现在)。该公司预计,随着调查的继续,这一数字还会上升。受影响的个人将获得24个月的信用监控服务。
互联网档案馆将服务中断归咎于“环境因素” (www.theregister.com)
互联网档案馆在经历了“环境因素”导致的断电后,旗下的“时光机”服务中断。该组织表示,其一个数据中心发生了“短暂的电力中断”,随后出现了“环境因素”,导致服务中断。这些环境因素很可能是冷却系统中断后导致的温度升高。截至目前,互联网档案馆表示服务已经恢复正常运行。对于许多用户来说,互联网档案馆是一个非常宝贵的资源,它提供了对数字资料的免费访问,包括软件、视频和文本,它还拥有“时光机”,这是一个网页档案,可以用来发现出版商何时悄悄地更改页面或删除整个网站。
Db2:即使IBM闭口不谈,它依然是一个值得讲述的故事 (www.theregister.com)
Db2 是 IBM 开发的一款历史悠久且备受推崇的关系型数据库,广泛应用于对可靠性要求极高的行业,例如银行业。 尽管 Db2 拥有庞大的用户群和良好的声誉,但 IBM 似乎对其未来发展方向保持沉默,尤其是在云计算领域。 相比之下,开源数据库 PostgreSQL 则凭借其开放性和社区支持,在开发者中越来越受欢迎,并成为云数据库服务的重要组成部分。
专家警告:修复 Ghostscript 漏洞,否则将面临重大安全风险 (www.theregister.com)
Ghostscript 中存在一个漏洞 (CVE-2024-29510),该漏洞可能允许攻击者在受影响的系统上执行任意代码。该漏洞已于 4 月份得到修复,但最近发布的概念验证 (PoC) 引发了人们的担忧。Ghostscript 广泛用于各种软件中,包括云存储、聊天程序和 PDF 转换工具,因此该漏洞的影响可能非常大。专家警告说,该漏洞的严重程度等级可能被低估了,并敦促组织尽快应用补丁。