30563
solidot.org 非官方 RSS 推送频道。如有侵权,立即删除。 关联: @idaily_magazine @dailyart_magazine @readhub_cn
字节跳动收紧对美国 TikTok 运营的控制
2024-04-26 00:14 by 梦蛇
《金融时报》援引内部人士的消息报道,字节跳动过去两年收紧了对美国 TikTok 运营的控制。20 名现任和前任员工称,包括高级管理人员在内的字节跳动员工被调到了 TikTok,美国员工中能说普通话的受到了青睐。2023 年 8 月离职的美国广告政策经理 Joël Carter 称表面上两家公司是独立的,但实际上是同一家公司。过去两年,TikTok 内部的中国员工人量一直在增加,字节跳动将员工从中国转移到美国在内的其他全球办事处。很多美国工人抱怨工作时间长和不透明的绩效评估,他们指责上司操纵员工评估,以实现预设目标并促进重组。内部人士称,用于广告的音乐协议签署或解决技术故障等都需要与中国同行协调。沟通协作等内部系统都托管在中国。
https://arstechnica.com/tech-policy/2024/04/in-the-face-of-bans-bytedance-tightens-grip-over-us-tiktok-operations/
#商业
Meta 是最热衷开源的科技巨头
2024-04-25 23:10 by 被涂污的鸟
Meta 或 Facebook 以其围墙花园式的社交网络著称,但它同时还是科技巨头中最热衷于开源的。在微软、苹果、英伟达、Google、Meta 和亚马逊等巨头中,Meta 发布了大量对整个行业有重要影响力的开源项目:它的 AI 大模型 LLama 是很多大模型的基础;它的机器学习库 PyTorch 被认为有助于打破英伟达的 AI 软件护城河;此外还有如 React/React Native、GraphQL、Casandra、Open Compute Project、OpenBMC,等等。你可以在 Facebook 开源网站找到大量项目。很多项目都成为了行业标准的基础。OpenAI 的封闭模型还具有优势,但 LLama 等开源模型正在大幅削弱其优势,它们真正让 AI 变得更民主,而不是掌握在少数人手中。
https://opensource.fb.com/projects/
#开源
核聚变反应克服了两大障碍
2024-04-25 21:42 by 平格尔的奇遇
核聚变反应已经克服了两个关键障碍——提高等离子体密度和保持稠密等离子体,以达到发电所需的“最佳点”。这是迈向核聚变发电的又一里程碑,尽管实现商用反应堆可能还需要数年时间。托卡马克等离子体磁约束聚变反应堆被认为存在一个临界点,即格林沃尔德极限。如果试图提高燃料密度,超过这个临界点时,等离子体就会脱离磁场的约束,四散逃逸,从而可能损坏反应堆。而提高密度对提高产量至关重要,因为实验表明,托卡马克反应堆的产量与燃料密度的平方成正比。美国通用原子能公司的研究人员证明,有一种方法可以提高等离子体密度,且能够实现高约束稳态运行。利用这种方法,他们成功使 DIII-D 国家聚变设施托卡马克反应堆在平均密度比格林沃尔德极限高出 20% 的情况下,运行了 2.2秒。虽然之前已经打破了这一“关卡”,但稳定性较差、持续时间较短,而且这次的关键指标是,能量约束增强因子 H98(y,2)>1。
https://www.newscientist.com/article/2427825-nuclear-fusion-experiment-overcomes-two-key-operating-hurdles/
https://news.sciencenet.cn/htmlnews/2024/4/521551.shtm
#科学
苹果发布可在本地运行的开放模型 OpenELM
2024-04-25 17:50 by 火星战士
苹果发布了它的开放模型 OpenELM,可以在本地设备而不是云端运行。OpenELM 的权重、训练的不同检查点(checkpoints)、预训练评估微调等的指南都公布在 Hugging Face 平台上。示例代码许可并不禁止商业使用或修改,只是要求在重新发布时包含苹果完整且没有修改过的声明。OpenELM 由一组旨在高效执行文本生成任务的小模型组成,共八个模型,四个预训练四个指令微调,参数规模从 2.7 亿到 30 亿。
https://huggingface.co/apple/OpenELM#llm360
#苹果
黑客滥用 GitHub 评论地址传播恶意程序
2024-04-25 15:07 by 我是6号
恶意程序使用可信域名传播不是什么新鲜事。安全公司 McAfee 披露,一种新的 LUA 恶意程序加载器使用了微软在 GitHub 的开源库 vcpkg 和 STL 的网址进行传播。恶意攻击者滥用了 GitHub 的一个缺陷或设计决策,当用户在软件包库发表评论上传文件时它会自动生成一个关联网址,即使评论最后并没有发布。当用户看到来自微软库的文件网址时可能会认为是可信网址。举例来说,“https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip,https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip”,这两个文件都不属于 vcpkg 和 STL 库,而是作为用户评论的一部分上传的。
https://www.bleepingcomputer.com/news/security/github-comments-abused-to-push-malware-via-microsoft-repo-urls/
#安全
Pixiv 对美英用户屏蔽部分成人内容
2024-04-25 13:46 by 月球人
因法律日益收紧,日本知名的插图、漫画和小说网站 Pixiv 宣布从 4 月 25 日起对英国和美国用户限制部分成人内容。限制的内容包括了未成年人色情描写和深度伪造等。英国和美国地区用户账号受到了新的条款“Restrictions for Healthy Expression in Specific Countries and Regions”的约束。Pixiv 于 2007 年上线,至今有逾 1 亿用户,发表了逾 1.15 亿幅插图和漫画,以及逾 2100 万篇小说。它从 2023 年起禁止了描述未成年人色情内容的照片级图像,以应对 AI 生成成人内容的涌入。
https://entertainment.slashdot.org/story/24/04/24/2343217/manga-site-blocks-adult-content-but-only-for-us-and-uk-users
#USA
Google Chrome 再次推迟淘汰第三方 Cookie
2024-04-24 23:18 by 女神觉醒
Google 今年一月开始按照计划对 1% 的 Chrome 用户禁用第三方 Cookie。根据 Google 的计划,初步测试完成之后 Google 将会逐步扩大范围,直到对所有用户完全禁用第三方 Cookie。这一计划预计会在年底完成。但本周 二 Google 再次宣布了推迟,最新的时间表是明年初。原因是第三方 Cookie 的替代隐私沙盒(Privacy Sandbox)面临更多的监管审查。隐私沙盒跟踪用户的兴趣,允许广告商根据兴趣展示广告,而用户可以管理兴趣并对其归类分组。
https://digiday.com/marketing/google-delays-third-party-cookie-demise-yet-again/
#隐私
猴痘病毒一毒株具有性传播能力
2024-04-24 19:25 by 哈特拉斯船长历险记
刚果民主共和国国家生物医学研究所研究人员发布的一份预印本报告称,猴痘病毒的一种毒株已经获得了通过性接触传播的能力。 预印本报告称,241例疑似感染和 108 例确诊感染与此次疫情有关——由于检测能力有限,这些数字可能被大大低估。近 30% 的确诊感染者是性工作者。猴痘病毒可在皮肤上引起疼痛、充满液体的病变,严重时可导致死亡。该病毒在包括刚果民主共和国在内的几个非洲国家的野生动物中持续存在,偶尔也会传染给人类。首次报告的大规模人际传播疫情于 2017 年在尼日利亚发生,造成 200 多例确诊病例和 500 多例疑似病例。尽管自 2022 年以来猴痘病毒感染有所减少,但在刚果民主共和国却呈上升趋势:2023 年 9 月,刚果民主共和国南基伍省出现了一组新的疑似病例。这一群集尤其令研究人员担忧,因为它主要在性工作者中传播,这表明病毒已经适应了通过性接触传播的能力。
https://news.sciencenet.cn/htmlnews/2024/4/521474.shtm
https://www.medrxiv.org/lookup/doi/10.1101/2024.04.12.24305195
#医学
韩国人起诉政府应对气候变化不力侵犯人权
2024-04-24 17:59 by 长颈龙的完美一天
逾 250 名韩国人起诉政府应对气候变化不力侵犯公民人权。这是亚洲首例与气候变化相关的政府诉讼听证会,如果法庭做出判决,这也将会是亚洲首例。原告认为,政府制定的到 2030 年将碳排放量相比 2018 年水平减少 40% 的目标是不够的——将导致灾难性的气候变化,侵犯他们的宪法权利。韩国人权监督机构已向政府提交意见书,指气候变化是人权问题,政府有义务保护公民免受气候变化的影响。原告方的法律代表 Lee Donghyun 称,个人应对气候变化非常困难,而韩国政府如果不进行根本性改革,它连自己制定的适度目标也无法实现。政府是时候以减少碳排放的方式重组工业和消费。
https://www.npr.org/2024/04/24/1246784475/south-korea-lawsuit-government-climate-change-violating-human-rights
#地球
QEMU 释出 v9.0.0 版
2024-04-24 15:18 by 人猿泰山之英雄归来
跨架构全系统模拟器 QEMU 正式释出了 v9.0.0 版,该版本包含了 220 名贡献者的 2700+ commits。主要新特性包括:virtio-blk 支持多队列;使用多线程同时处理内存后端预分配;支持 mapped-ram 功能允许更高效的虚拟机快照;龙芯的 LoongArch 架构支持 KVM 加速,包括 LSX/LASX 矢量扩展;改进 RISC-V 支持,等等。QEMU 项目由 Fabrice Bellard 创建,最初设想在非 x86 平台上运行 x86 Linux 二进制程序,随后转变成跨架构的全系统模拟器。
https://www.qemu.org/2024/04/23/qemu-9-0-0/
#开源
FTC 禁止绝大部分职业的竞业禁止协议
2024-04-24 14:12 by 海底两万里
美国 FTC 委员会以 3 票对 2 票的微弱多数禁止了几乎所有职业的竞业禁止协议。此类协议会禁止员工加入竞争的企业或创办自己的企业。在投票的几个月前,FTC 收到了逾 2.6 万条公众意见。FTC 估计,从最低工资收入者到 CEO,美国有大约五分之一的从业者相当于 3000 万人受到了竞业禁止协议的约束。很多人直到想要换工作时才知道自己签署了竞业禁止协议。一直反对禁令的美国商会表示将会起诉 FTC,认为此举是不必要的、非法的,是公然夺权。
https://www.npr.org/2024/04/23/1246655366/ftc-bans-noncompete-agreements-lina-khan
#USA
微软发布其轻量级模型 Phi-3
2024-04-24 00:01 by 月缘
微软发布了其轻量级模型 Phi-3,其中最小版本 Phi-3 Mini 的权重已发布在 Hugging Face 上。Phi-3 有三个版本:Phi-3 Mini 有 38 亿参数,未来计划发布的 Phi-3 Small 有 70 亿参数,Phi-3 Medium 有 140 亿参数。微软高管称 Phi-3 Mini 的性能与 GPT-3.5 接近,但参数规模要小得多。相比参数规模更大的模型,小模型运行开销更低,在个人设备如手机和笔记本上表现更好。
https://huggingface.co/microsoft/Phi-3-mini-128k-instruct
https://www.theverge.com/2024/4/23/24137534/microsoft-phi-3-launch-small-ai-language-model
#微软
Google 解雇了约 50 名参与抗议与以色列云计算合同的员工
2024-04-23 23:37 by 洋槐树下
上周二,数十名员工在 Google 位于纽约的办公室公共区域以及 Google 云 CEO Thomas Kurian 位于加州 Sunnyvale 的办公室就与以色列达成的云计算合同举行静坐抗议。Google 随即解雇了 28 名员工。参与抗议的员工属于 No Tech For Apartheid 组织,该组织透露 Google 又解雇了 20 名员工,目前有约 50 人被解雇。该组织在一份声明中表示,Google 试图“压制异议,沉默工人,重申其权力”,搜索巨人对利润的重视胜过人。它表示会继续抗议,直至 Google 取消云计算合同 Project Nimbus。
https://tech.slashdot.org/story/24/04/23/148207/google-fires-more-employees-over-protest-of-cloud-contract-with-israel
#Google
姓氏字母顺序可能影响成绩
2024-04-23 22:48 by 图书馆员与遗失的神灯
掌握 ABC 对学习很重要,而姓氏字母顺序以 A、B、C 开头也可能有助于取得好成绩。密歇根大学研究人员分析了本校逾 3000 万份的成绩记录,发现姓氏字母顺序排名靠后的学生考分也略低,他们收到的评价也更负面、更缺乏礼貌。研究人员认为这与学习管理系统默认以姓氏字母顺序有关。评分者越到后面评分质量越低。姓氏以 A、B、C、D 或 E 开头的学生在满分 100 分中得到的成绩相比随机评分高 0.3 分,而姓氏排序在后面的学生成绩会低 0.3 分,前后之间出现了 0.6 分的差距。研究人员表示,观察结果证实了假设,即评分顺序影响了成绩差距。0.6 分的差距看起来很小,但会影响学生课程的平均学分绩点,对他们的职业道路机会会产生负面影响。
https://record.umich.edu/articles/study-alphabetical-order-of-surnames-may-affect-grading/
#教育
孤独感可能会增加对糖的渴望
2024-04-23 17:37 by 血之遗产
如果你在家里吃巧克力和/或冰淇淋度过了一个孤独的夜晚,你不应该感到内疚。一项新的研究发现,孤独会导致对含糖食物的强烈渴望。研究人员将社交孤立者的大脑化学物质与心理健康状况不佳、体重增加、认知能力下降以及 2 型糖尿病和肥胖等慢性疾病联系起来。研究人员研究了 93名 绝经前参与者的大脑化学是如何改变的,以及它是如何根据社会环境处理食物线索的。他们的研究结果显示,那些经历过孤独或孤立的人体内脂肪的比例更高,饮食习惯也不佳,比如食物成瘾和不受控制的饮食。科学家们使用核磁共振成像扫描监测参与者对甜食和咸味食物的抽象图像的反应。结果显示,那些经历过隔离的人在大脑的某些区域最活跃,这些区域在对糖的渴望做出反应方面起着关键作用。这些参与者在处理自我控制的区域表现出较低的反应。
https://www.ebiotrade.com/newsf/2024-4/20240421063103551.htm
https://jamanetwork.com/journals/jamanetworkopen/fullarticle/2817148
#科学
Adobe 新 AI 模型能让模糊视频变成高清视频
2024-04-25 23:57 by 大魔法师
Adobe 研究人员发表了一篇预印本论文,介绍了一种新的生成式 AI 模型 VideoGigaGAN,它能让将视频分辨率提升到原始分辨率的八倍。研究人员称 VideoGigaGAN 优于其它视频超分辨率(Video Super Resolution 或 VSR)重建方法,能提供更细粒度的细节,不会引入任何 AI 制造的幻影。现有的 VSR 方法如 GAN(Generative Adversarial Networks)能有效提升静态图像的分辨率,但提升视频的分辨率则容易引入闪烁或伪影;其它 VSR 方法能避免这些问题,但清晰度或细节不够。VideoGigaGAN 能综合现有方法的长处,有更高的图像/视频质量,同时能减少闪烁或失真问题。
https://arxiv.org/pdf/2404.12388.pdf
https://videogigagan.github.io/
#人工智能
中国科技业的 35 岁诅咒
2024-04-25 22:03 by 穿越黑暗之门
34 岁的老白第一次意识到自己在快手的工作可能不保,是看到一位 35 岁的同事被炒。老白(由于担心遭到前雇主的报复,他用了自己的昵称)说:“我既震惊又焦虑。我意识到我们的情况非常相似,同样的事情可能很快发生在我的身上。”距离 35 岁生日还有几个月他就被解雇了。公司给的理由是整体裁减冗员计划的一部分。中国的劳动法禁止雇主基于种族、性别和宗教等歧视雇员,但没有明确提及年龄。35 岁诅咒一直困扰着科技行业的从业者,而高管也一直公开表达了对年轻员工的偏好。美团的一位前销售经理说,20-30 岁的员工精力充沛,更愿意为公司牺牲,而一旦你成为父母,身体衰老,你如何跟上 996 的作息?数据显示,字节跳动和拼多多的员工平均年龄最年轻为 27 岁,而快手是 28 岁,滴滴是 33 岁。根据中华全国总工会的数据,全国工人的平均年龄为 38.3 岁。去年拉勾招聘的调查发现,87% 的程序员“严重担忧”在年满 35 岁后被解雇或找不到新工作。老白则辛运的从一家科技公司找到了一个管理职位。
https://www.ft.com/content/5cf306ad-3a39-4357-b7b3-1d2644bb13a7
#长城
美国居民能用不到 1 万美元购买装备喷火器的机器狗
2024-04-25 18:50 by 星尘
俄亥俄州公司 Throwflame 宣布该公司配备火焰喷射器的机器狗产品 Thermonator 开放购买,售价 9,420 美元。Thermonator 为四足机器狗,背部安装了 ARC 火焰喷射器,以汽油或凝固汽油作为燃料。其电池续航力为 1 小时,火焰喷射范围 30 英尺,可通过 Wi-Fi 和蓝牙使用智能手机远程控制。它还配备了一个激光雷达传感器,用于测绘和避障以及激光瞄准,可通过摄像头进行第一人称视角 (FPV) 导航。Thermonator 的用途包括了:野火控制和预防、农业管理、生态保护、除雪除冰以及娱乐和 SFX。美国有 48 个州没有对火焰喷射器进行监管,只有马里兰州和加利福尼亚州对其有限制,买家需要拥有联邦的火器许可证(Firearms License),加州对火焰喷射器的喷射距离也有限制,不能超过 10 英尺。
https://arstechnica.com/gadgets/2024/04/you-can-now-buy-a-flame-throwing-robot-dog-for-under-10000/
https://throwflame.com/products/thermonator-robodog/
#USA
印度杀软通过 HTTP 更新,被中间人拦截安装后门
2024-04-25 16:12 by 布兰尼肯夫人
印度杀毒软件 eScan 至少从 2019 年起通过 HTTP 提供更新。这一做法被黑客滥用了五年,HTTP 流量容易被中间人拦截和纂改。安全公司 Avast 的研究人员报告,黑客对 eScan 的更新机制执行了中间人攻击,安装了名为 GuptiMiner 的恶意程序。Avast 向印度政府的计算机应急中心(CERT)报告了这一问题,2023 年 7 月 31 日收到 eScan 的回复称问题已经修复。研究人员不清楚攻击者是如何拦截 eScan 的 HTTP 流量的,怀疑目标网络已遭到某种程度的入侵,能将流量路由到恶意中间人。
https://arstechnica.com/security/2024/04/hackers-infect-users-of-antivirus-service-that-delivered-updates-over-http/
https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining/
#安全
Grindr 与第三方分享用户敏感 HIV 信息面临集体诉讼
2024-04-25 14:18 by 镜中世界
同性恋约会应用 Grindr 因与第三方公司分享 HIV 状况和其它敏感信息而面临数百名用户的集体诉讼。英国律所 Austen Hays 表示已与逾 670 名用户签约,正与另外数千名有意加入的用户磋商。如果胜诉,每位参与者有望获得数千元的赔偿。Austen Hays 指控 Grindr 在未经用户同意出于商业目的共享敏感数据,违反了英国数据保护法。Grindr 承认与其供应商 Apptimize 和 Localytics 分享了 HIV 状况信息,但强调分享不是出于广告目的,承诺将停止分享。Grindr 是在咨询了健康卫生组织之后在 2016 年让用户选择自行决定发布其 HIV 状况和感染情况,认为这有利于社区的健康和福祉。
https://arstechnica.com/tech-policy/2024/04/grindr-users-seek-payouts-after-dating-app-shared-hiv-status-with-vendors/
#隐私
拜登签署了 TikTok 法案
2024-04-25 00:29 by 被涂污的鸟
在美国众议院和参议院都通过之后,美国总统拜登签署一系列法案,使之正式成为法律。其中包括了要求字节跳动在一年时间内剥离 TikTok 否则将会面临封禁。字节跳动有九个月时间挑选买家,如果交易取得进展,总统可以将期限再延长三个月。TikTok 发言人 Alex Haurek 在一份声明中表示,该公司计划在法庭上挑战这一禁令,如果法院下令推迟执行,字节跳动可能会有更长的时间。
https://www.theverge.com/2024/4/24/24139036/biden-signs-tiktok-ban-bill-divest-foreign-aid-package
#USA
微软开始对所有人启用开始菜单广告
2024-04-24 21:24 by 飞向阿尔孔
在短暂测试之后,微软开始对所有人启用开始菜单广告。微软本周向 Windows 11 用户推送更新 KB5036980,其中包括在开始菜单加入推荐 Microsoft Store 应用的“特性”。微软是在两周前开始测试开始菜单广告,表示将听取用户反馈,短短两周时间可能不会收到多少积极反馈,然而软件巨人仍然决定迅速全面部署该功能。 幸运的是,该推荐功能很容易关闭:在安装 KB5036980 之后,用户可以在设置——个性化——开始中关闭“显示有关提示、快捷方式、新应用等的建议”。
https://www.theverge.com/2024/4/24/24138949/microsoft-windows-11-start-menu-ads-recommendations-setting-disable
https://support.microsoft.com/en-us/topic/april-23-2024-kb5036980-os-builds-22621-3527-and-22631-3527-preview-5a0d6c49-e42e-4eb4-8541-33a7139281ed
#商业
IBM 准备收购 HashiCorp
2024-04-24 18:34 by 飞行村
华尔街日报报道,IBM 预计将在数天内签署收购 HashiCorp 的协议。消息传出之后其股价上涨了近五分之一。HashiCorp 成立于 2012 年,2021 年在纳斯达克上市。根据其财报,该公司在截至 1 月 31 日的财年中净亏损近 1.91 亿美元,营收 5.83 亿美元。去年 12 月,HashiCorp 联合创始人 Mitchell Hashimoto 宣布离职。思科持有 HashiCorp 约 900 万美元的股票,曾在 2019 年展开了初步收购谈判。HashiCorp 最近在开源社区引发了争议,其基础设施即代码软件项目 Terraform 从 Mozilla Public License (v2.0) 许可证切换到了非开源的 Business Source License (v1.1),社区随后创建了分支 OpenTofu。
https://slashdot.org/story/24/04/23/2041238/hashicorp-reportedly-being-acquired-by-ibm
#IBM
Andreas Tille 当选为 DPL
2024-04-24 17:32 by 迷宫之屋
一年一度的 Debian 项目领导人(DPL)选举公布了选举结果:Andreas Tille 当选。这次选举有两人参选:Andreas Tille 和 Sruthi Chandran。上一任 DPL Jonathan Carter 未参选,他连续四年当选 DPL 为历史首位,其第一任任期始于 2020 年。Andreas Tille 参与项目长达 25 年,已经是一位祖父/外祖父了,他此前担任过 Debian Med leader,其议程是确保 Debian 在快速变化的操作系统生态中与时俱进;Sruthi Chandran 是印度人,从图书管理员转变为自由软件爱好者和 Debian 开发者,他的议程主要集中在多元化。DPL 选举采用的是孔多塞投票法。
https://bits.debian.org/2024/04/dpl-elections-2024.html
#Debian
甲骨文将把总部迁移到田纳西州
2024-04-24 14:56 by 喀迈拉空间
甲骨文董事长 Larry Ellison 宣布将把公司全球总部迁移到田纳西州的 Nashville。在数十年里,甲骨文的全球总部一直位于加州的 Redwood Shores,2020 年 12 月该公司宣布将全球总部迁移到德州奥斯丁,现在又准备迁移到田纳西州。Ellison 声称是为了更靠近主要的医疗保健中心。该公司过去三年已斥资 12 亿美元在当地建造新的大型园区。甲骨文从加州迁移到德州被认为是该州监管更宽松,现在迁移到田纳西州则被认为主要是为了避税。
https://developers.slashdot.org/story/24/04/23/2234216/oracle-is-moving-its-world-headquarters-to-nashville
#甲骨文
美国参议院通过 TikTok 禁令法案
2024-04-24 12:00 by 火星之剑
美国参议院以 79:18 通过了一揽子国家安全法案,其中包括要求字节跳动剥离 TikTok 否则将在美国封禁 TikTok 的法案。这些法案将在美国总统拜登(Joe Bide)签署之后成为法律,而拜登此前承诺如果国会两院都通过了 TikTok 禁令法案,他将会签署。一旦签署,字节跳动将有一年时间完成对 TikTok 的出售,否则将会在美国面临封禁。
https://www.theverge.com/2024/4/23/24137638/senate-passes-tiktok-ban-bill-divest-bytedance-foreign-aid
#USA
云输入法的漏洞会暴露输入的内容
2024-04-23 23:42 by 龙牙
加拿大多伦多大学公民实验室的研究人员分析了百度、荣耀、华为、讯飞、OPPO、三星、腾讯等九家厂商的云输入法,发现八家输入法软件包含严重漏洞,允许研究人员完整破解厂商设计用于保护用户输入内容的加密法。还有部分厂商并未使用任何加密法保护用户输入内容。研究人员向受影响的九家开发商提交了漏洞报告,大部分开发商均认真看待问题并予以回应,修补了漏洞,但仍有少数输入法未修补漏洞。在测试的九家厂商的应用程序中,仅有华为的产品未发现任何上传用户输入内容至云端相关的安全问题,其余每一家厂商都至少有一个应用程序含有漏洞,使得被动型网络攻击者得以监看用户输入的完整内容。
https://citizenlab.ca/2024/04/%e6%95%b2%e6%95%b2%e6%89%93%e6%89%93%e4%b8%80%e7%b3%bb%e5%88%97%e4%ba%91%e7%ab%af%e8%be%93%e5%85%a5%e6%b3%95%e6%bc%8f%e6%b4%9e%e4%bd%bf%e7%bd%91%e7%bb%9c%e6%94%bb%e5%87%bb%e8%80%85%e5%be%97-zh-cn/
#安全
Fedora Linux 40 释出
2024-04-23 23:07 by 杜马岛
Fedora Linux 发行版释出了 v40。主要变化包括:GNOME 46、KDE Plasma 6.0,以及 Linux 6.8。其它软件变化包括:Golang 1.22、LLVM 18、Ruby 3.3、移除 OpenSSL 1.1、GDBM 取代停止维护的 BerkeleyDB、GCC 13 和 Mesa 24.0 图形驱动等等。Fedora Linux 40 将是 CentOS Stream 10 以及未来的企业发行版 Red Hat Enterprise Linux 10 的基础。
https://fedoramagazine.org/announcing-fedora-linux-40/
https://fedoraproject.org/wiki/Releases/40/ChangeSet
#Redhat
NSA 报告的 Windows 漏洞被俄罗斯用于安装恶意程序
2024-04-23 21:48 by 机器人的逃跑计划
微软周一披露,一个高危漏洞被俄罗斯黑客组织利用了四年之久。该漏洞编号为 CVE-2022-38028,位于 Windows 打印后台处理程序中,威胁评分 7.8/10,它能与其它漏洞组合利用提权获得系统权限。该漏洞是 NSA 报告的,微软在 2022 年修复时没有披露该漏洞正被利用。周一微软披露黑客组织 Forest Blizzard 至少从 2020 年 6 月甚至可能早在 2019 年 4 月起就利用该漏洞。Forest Blizzard 的其它名字包括了 APT28、Sednit、Sofacy、GRU Unit 26165 和 Fancy Bear,被认为与俄罗斯军事情报总局的 26165 部队有关联。黑客利用漏洞获得系统权限之后会安装恶意程序 GooseEgg,该工具为后续行动提供了一个简单的界面用于安装其它具有系统权限的恶意程序。GooseEgg 会将恶意程序安装到特定子目录下,这些子目录名字包括了 Microsoft、Adobe、Comms、Intel、Kaspersky Lab、Bitdefender、ESET、NVIDIA、UbiSoft、Steam。举例来说,它可能会创建特定的目录如 C:\ProgramData\Adobe\v2.116.4405。
https://arstechnica.com/security/2024/04/kremlin-backed-hackers-exploit-critical-windows-vulnerability-reported-by-the-nsa/
https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2022-38028
#安全
Change Healthcare 承认向黑客支付赎金,但未必能避免客户数据泄露
2024-04-23 17:31 by 穹顶之下
Change Healthcare 终于承认了安全研究人员早已通过区块链纪录知道的事实:它在遭遇勒索软件攻击之后向该组织 AlphV/BlackCat 支付了价值 2200 万美元的 150 比特币赎金。然而该公司同时警告了客户敏感医疗数据可能会暴露的风险。Change Healthcare 支付的赎金在勒索软件组织内部引发了内讧,主要组织者跑路,而仍然控制着数据的同伙威胁泄露数据。Change Healthcare 的做法被认为会鼓励勒索软件黑帮向其它医疗机构发动攻击。此次事件已经给该公司造成 8.72 亿美元的损失,未来损失可能会进一步扩大到 10 亿美元以上。
https://www.wired.com/story/change-healthcare-admits-it-paid-ransomware-hackers/
#安全