苹果 FaceTime 视频通话应用曝出了一个 bug，允许呼叫者在接听者同意接听前听到声音，这潜在可能会导致泄漏隐私。苹果在一份声明中表示它已经了解这一问题，修复 bug 的补丁会在本周晚些时候释出。bug 的触发有条件，用户在选择联系人进行 FaceTime 通话，切换选择添加新用户，但不是真的添加新用户，而是输入自己的号码将自己作为群组 FaceTime 视频通话的另一参与方，然后你就能听到接收者的声音了。这个 bug 并不能用于监听，但确实可能会让接收者吃一惊。

程序总是不可避免会存在 bug，发现 bug 然后修复是程序员日常生活的一部分。但这个过程非常耗时间，因此有些研究人员想要设计出机器人程序去自动化这个流程。但这些机器人程序写的代码质量不高，通常不会被接受。大多数情况下，程序员都是利用机器人程序去寻找 bug 然后自己写代码去修复。现在，瑞典皇家理工学院的研究人员开发的机器人程序能写出高质量的代码。研究人员称他们的机器人程序叫 Repairnator，将其伪造成人类用户 Luc Esape，在流行的代码托管平台 GitHub 上与人类开发者竞争修 bug。第一次测试不成功，Repairnator 写的代码质量太低而没有被发现 bug 的项目接受。第二次测试比较成功，Repairnator 写的五个补丁被接受了。他们的论文《Human-competitive Patches in Automatic Program Repair with Repairnator》发表在预印本网站上。

微软本周释出了一个新补丁 KB4464330 (build 17763.55) 去解决 Windows 10 October 2018 Update 的一个文件删除 bug。但新补丁给部分用户带来了新的问题。惠普用户报告在安装补丁后电脑出现了蓝屏死机，据称部分戴尔电脑也受到影响。根据微软技术支持论坛的讨论，KB4464330 与惠普的键盘驱动文件 HpqKbFiltr.sys 有冲突，重命名文件或能解决。用户可通过命令行提示符，将 c:\windows\system32\drivers 文件夹下的– ren HpqKbFiltr.sys 重命名为 HpqKbFiltr.sys_old –，然后重启。但也用户称该方法无效。微软表示正对此展开调查。

在修复了数据删除问题之后，微软重新释出了 Windows 10 October 2018 Update。Windows Servicing and Delivery 的总监 John Cable 在官方博客上详细解释了这一问题。John Cable 称遭遇数据丢失问题的用户很少，他们已经调查了所有数据丢失的报告，修复了所有已知的问题，并进行了内部验证。导致数据丢失的问题与文件夹重定向功能有关。当用户使用文件夹重定向将一个已知的文件夹重定向到另一个磁盘，比如为了节省 C 盘空间而将 c:\users\username\documents 重定向到 D:\documents，如果原文件夹中的内容没有移动，那么升级到 Windows 10 October 2018 Update 时原文件夹包括其中的文件会被删除，只保留新的文件夹。其它的数据删除案例与 OneDrive 有关。

Google 刚刚发布的 Android 9.0 Pie 并非一帆风顺毫无问题，很多用户反馈 Android Pi 影响了手机的快充功能，甚至 Google 自己的旗舰手机 Pixel XL 也报告存在类似的问题。Pixel XL 用户称，手机自带的充电器能正常工作并显示“快速充电”，但第三方充电器不再能快速给手机充电。更奇怪的是，对于用户报告的问题，Google 先是将其标记为“不会修复（不可行）”，然后又将其标记为“已分配（问题重新开放）”。

在发布 Windows 10 之后，微软开始转向软件即服务的模式，每月安全更新每半年大更新一次。但微软频繁的更新并没有给所有用户带来舒服的体验，事实上微软的更新给很多人带来了麻烦，尤其是使用旧电脑的用户。微软 MVP Susan Bradley 调查了 1000 多人对 Windows 10 更新体验的看法，将用户经历的糟糕体验报告给了软件巨人。结果，微软官方博客发表了文章，称它的补丁简单、合格且一致。微软的 John Wilcox 称，它的更新服务原则是简单、可预测、敏捷和透明，微软预测 IT 管理人员应该能应付补丁问题。

由 Gearbox 开发世嘉发行的异形系列游戏《异形：殖民军》在 2013 年发布之后恶评如潮，其 Metacritic 评分仅为 45/100。游戏的开发本身也经历了很多波折，发布之后的作品被认为是半成品，它饱受批评的一个最大问题就是异形的 AI 很烂。Gearbox 早已放弃了这个游戏，但粉丝没有放弃。粉丝去年底发布了一个补丁，修复了游戏的大量问题。其中修复 AI 的问题刚刚被人注意到：在游戏的 PecanEngine.in 文件中，给异形分配 AI 指令的 tether 系统有一处输错了，开发者将名词 tether 输错成了 teather，只要把这个错误修正过来，游戏的 AI 就有了显著改善。玩家和记者已经测试了这个补丁，发现修复后的 AI 与旧的怪物 AI 简直有天壤之别。

加州的一名法官允许针对菲亚特克莱斯勒的集体诉讼继续进行。这起因软件缺陷提起的起诉针对的是菲亚特的 Pacifica  面包车。原告指责菲亚特在多起用户投诉失速问题之后隐瞒 Pacifica 汽车传动系统控制模组（PCM）缺陷的信息，以让客户继续购买该型号汽车。菲亚特试图驳回诉讼，称投诉并不意味着证明汽车存在缺陷，或表明公司知道缺陷并进行隐瞒。法官同意菲亚特的理由，裁决原告不能单独将消费者的投诉作为缺陷的证据，但法官同时指出在原告购买汽车前菲亚特公布了两个与 Pacifica PCM 软件相关的技术服务公告，之后又发布了两个。法官认为有足够的证据相信菲亚特可能已经知道 Pacifica 汽车的失速问题。

三星手机用户报告，默认短消息应用 Samsung Messages 在用户不知情下将手机上的照片发送给随机联络人。其中一个案例声称，Samsung Messages 在午夜将手机相册里的全部照片发送给一个联络人，幸运的是这个联络人是其伴侣。但如果接收方是非亲密的联络人，那么你的私密生活可能就一览无遗了，如果你经常用手机拍照的话。三星发表声明称它已知情，正对此展开调查。问题被认为可能与 Samsung Messages 和运营商推送的 RCS (Rich Communication Services)更新有关。目前有两种方法暂时解决这个问题：撤销 Samsung Messages 的存储访问权限，或改用其它短消息应用。

IETF 的愚人节笑话“418 我是茶壶”错误码至今已有二十年历史了。这个错误码被 Node.js、ASP.NET 和 Google 的 Go 语言作为彩蛋实现了。结果本周，世界各地的大量用 NPM JavaScript 包管理器的开发者都遭遇了该错误码。当开发者尝试更新或安装新的 JavaScript/Node.js 包时，他们的终端或应用程序出现了“ERR! 418 I'm a teapot”。不是所有开发者都受到影响，受影响的是那些使用代理服务器的开发者。

由于算法错误 45 万英国年长女性错过了乳腺癌筛查，卫生大臣 Jeremy Hunt 已宣布对此展开独立调查。由于“算法错误”，年龄在 68 到 71 岁的女性在 2009 年没有被邀请参加最后一次乳腺癌筛查。出问题的软件是国家卫生系统的乳腺癌筛查调度软件。Hunt 称这次事件可能导致部分女性过早死亡，根据统计建模，过早死亡人数在 135 到 270 人之间。错误据称是在去年初筛查算法更新时发现的，一开始被认为只影响少数女性，今年初才知道影响范围之大，而公众直到本月初才被告知此事。政府称，错误检查的女性中有 309,000 仍然活着。英国国家卫生系统，英格兰公共卫生部，以及软件开发商日立咨询都将算法问题归咎于对方。

The Information 报道称（付费墙），今年三月发生在亚利桑那坦佩的 Uber 自主驾驶汽车致命车祸是软件 bug 导致的。这起车祸撞死了扶着自行车穿过马路的 Elaine Herzberg。报道援引两名匿名知情人士的消息称，汽车的传感器在 Herzberg 穿越马路时探测到了她，但软件将之分类为“假阳性”，认为不需要停下来。区分真实物体和虚假物体是开发自主驾驶软件的最基本挑战之一。软件需要识别前进路线上的物体如汽车、行人和大块石头，然后决定停车或转向以避开物体。另一些物体如塑料袋或垃圾则可以安全的忽略掉。此外传感器异常也会导致软件探测到不存在的物体。软件设计师面临的一个利弊权衡是：如果程序被编程的太过于谨慎，那么行驶速度将十分缓慢，会开开停停，乘客会感到不舒服；但相反则可能导致风险增加。这就是发生在坦佩悲剧所在， Uber 被指降低了自主驾驶系统的安全性以加快测试进度。

上个月发布的文件系统 ZFS on Linux 0.7.7 发现了数据损失 bug。当用户尝试拷贝一个包含大量文件（比如一万个文件）的文件夹时产生了文件系统已满没有空间的错误信息，而目标目录中的文件数量被发现少了数千个。一些人建议回滚到旧版本 0.7.6，但在 bug 报告仅仅三天之后，开发者就释出了修改该问题的 0.7.8 版，反应非常迅速。

过去几天，苹果的系统曝出了一个 bug，印度 Telugu 语的字符能让应用和系统崩溃。受影响的应用包括了苹果的 iMessage，第三方应用如 WhatsApp、Facebook Messenger、Gmail 和 Outlook，以及浏览器如 Safari 或 Chrome 。苹果用户还发现，如果 Telugu 语字符出现在通知中，那么整个系统将会崩溃。苹果在收到报告之后已经快速释出了更新，修改了导致崩溃的 bug。

官媒报道了一则与百度外卖系统相关的案件：2017 年 10 月，北京小度科技有限公司报案，称其旗下的 “百度外卖” 平台被他人以非法手段篡改系统，将提现金额改为负数，从而实现反向充值自己账户余额，并使用账户余额在 “百度外卖” 平台上进行消费，总共被篡改 4900 余万元，下单单数覆盖全国多个地区，人数达百余人，直接消费损失 30 余万元...海淀检方呼吁广大互联网企业要注意防范网络安全漏洞。

匿名读者 写道 "著名的《Mastering Bitcoin》（《精通比特币》）一书中有段Python代码有误（key-to-address-ecc-example.py），这段代码被广为流传。这个错误有极高的概率会根据一个正确的私钥生成一个错误的压缩公钥，从而产生一个错误的比特币收款地址，如果使用这个地址会导致比特币资金丢失。这段有BUG的代码从此书中的第一版中就已存在，最新的第二版本依旧存在这个BUG代码，当然，广为流传的中译版本中也自然存在。 下面是那段错误的代码及其修正：https://github.com/bitcoinbook/bitcoinbook/pull/483/files 

BUG的产生是encode函数没有保留前导字符零所致，下面是BUG演示，可见丢失了一个前导零的公钥产生了一个错误的比特币地址：

这其实并不是encode函数的错，一个正常的未添加前缀字符（"02"或"03"）的压缩公钥长度应该是32字节(64个字符)，encode函数会将10进制公钥转换成16进制字符串的形式，一旦当转换后的字符串长度不足64个字符的时候（极有可能出现的情况），encode函数并不会自动添加前导字符零以确保压缩公钥的长度为64个字符。zfill(64)的作用就是确保公钥为64个字符，不足的话进行补零。 以上演示数据可通过著名的比特币在线地址生成器进行查验：https://www.bitaddress.org

现已推送了一个合并请求(Pull Request)并提供了一段重现此BUG的代码，详细信息： https://github.com/bitcoinbook/bitcoinbook/pull/483"

CPU 的 Meltdown 和 Spectre 漏洞影响了几乎所有 PC，微软也已经释出了相关更新。但部分 AMD 用户在官方论坛上报告补丁导致了他们的机器无法启动进入 Windows。AMD 的处理器只部分受到 Spectre 漏洞的影响。使用 Athlon 处理器的用户报告在安装 KB4056892 补丁后就无法启动了，只剩下重新安装系统这唯一选项。还有用户称，重新安装也没有解决问题。

英特尔处理器曝出了一个严重的硬件设计漏洞，迫使主要操作系统和云计算服务商都忙着打补丁。因为漏洞信息没有解密，所以目前只能通过已发布的补丁反推这个漏洞。该漏洞是奥地利格拉茨技术大学（TU Graz）的一组研究人员发现的，他们在去年十月发布了最早的 KAISER 补丁集。去年 12 月，在内核邮件列表上，应 Linus 等人的要求，KAISER 被改名，内核开发者提出了一系列技术上正确的首字母缩写，包括 User Address Space Separation（uass）和 Forcefully Unmap Complete Kernel With Interrupt Trampolines（fuckwit），最后出于政治上正确的理由改名为 Kernel Page Table Isolation（KPTI）。从表面上看，KPTI 补丁是为了确保 ASLR 仍然有效。ASLR 是现代操作系统的一项安全功能，通过引入虚拟地址随机化阻止攻击者定位目标程序数据的位置。而在去年底举行的 34C3 会议上，TU Graz 的研究人员描述了一种纯 Javascript 的 ASLR 攻击（YouTube），通过组合高精度测时和选择性驱逐 CPU 缓存行，一个运行在浏览器上的 Javascript 程序能还原一个 Javascript 对象的虚拟地址，然后再利用浏览器的内存管理 bug 进行攻击。从表面上看，KAISER（KPTI）补丁的作者们演示了一种技术能暴露 ASLR 化的地址。问题看起来也和虚拟内存也有关。每当一些机器代码尝试加载、储存或跳到一个内存地址，CPU 都必须首先通过其管理的页表将这个虚拟地址翻译到物理地址。虚拟内存可能是现代操作系统最重要的特性之一，它能防止一个死亡的进程崩溃操作系统，一个浏览器 bug 崩溃桌面环境，或者一个虚拟机能影响到同一主机上的其它虚拟机。TU Graz 的研究人员此前曾在一篇论文里描述了一种新的 Rowhammer 提权攻击。

深圳普联的中继器固件被发现每 5 秒会发送 6 次 DNS 查询和 1 次 NTP 查询。它的固件硬编码了六个 NTP 服务器，没有任何的 DNS 缓存，每 5 秒查询一次这 6 个 NTP 服务器，相比之下 Windows 机器每周才发送一次 DNS 和一次 NTP 查询。普联的做法违反了 NTP Pool 项目的规定。NTP Pool 项目要求设备制造商和供应商注册自己的 NTP 服务器池如 tplink.pool.ntp.org，不要使用默认的 pool.ntp.org，最多每五分钟检查一次。

俄罗斯本周在东方港航天发射场使用 Soyuz-2-1b 火箭发射了 Meteor-M 气象卫星和 18 颗小卫星，但由于 Fregat 上面级发生故障导致所有卫星被送入了亚轨道，在大气层中烧毁。根据俄罗斯太空网站的报道，一个编程错误导致 Fregat 无法自己确定方向。报道称，Fregat 的飞行控制系统仍然是为拜科努尔发射场设置的，没有为新的东方港发射场正确设置。因此，当 Fregat 与火箭分离后，它未能发现正确的方向。当它点燃引擎将卫星送入轨道时，它仍然在尝试修正方向，它事实上是向下对着地球推送卫星的，导致卫星被送到了致命的亚轨道。