Google 刚刚发布的 Android 9.0 Pie 并非一帆风顺毫无问题，很多用户反馈 Android Pi 影响了手机的快充功能，甚至 Google 自己的旗舰手机 Pixel XL 也报告存在类似的问题。Pixel XL 用户称，手机自带的充电器能正常工作并显示“快速充电”，但第三方充电器不再能快速给手机充电。更奇怪的是，对于用户报告的问题，Google 先是将其标记为“不会修复（不可行）”，然后又将其标记为“已分配（问题重新开放）”。

在发布 Windows 10 之后，微软开始转向软件即服务的模式，每月安全更新每半年大更新一次。但微软频繁的更新并没有给所有用户带来舒服的体验，事实上微软的更新给很多人带来了麻烦，尤其是使用旧电脑的用户。微软 MVP Susan Bradley 调查了 1000 多人对 Windows 10 更新体验的看法，将用户经历的糟糕体验报告给了软件巨人。结果，微软官方博客发表了文章，称它的补丁简单、合格且一致。微软的 John Wilcox 称，它的更新服务原则是简单、可预测、敏捷和透明，微软预测 IT 管理人员应该能应付补丁问题。

由 Gearbox 开发世嘉发行的异形系列游戏《异形：殖民军》在 2013 年发布之后恶评如潮，其 Metacritic 评分仅为 45/100。游戏的开发本身也经历了很多波折，发布之后的作品被认为是半成品，它饱受批评的一个最大问题就是异形的 AI 很烂。Gearbox 早已放弃了这个游戏，但粉丝没有放弃。粉丝去年底发布了一个补丁，修复了游戏的大量问题。其中修复 AI 的问题刚刚被人注意到：在游戏的 PecanEngine.in 文件中，给异形分配 AI 指令的 tether 系统有一处输错了，开发者将名词 tether 输错成了 teather，只要把这个错误修正过来，游戏的 AI 就有了显著改善。玩家和记者已经测试了这个补丁，发现修复后的 AI 与旧的怪物 AI 简直有天壤之别。

加州的一名法官允许针对菲亚特克莱斯勒的集体诉讼继续进行。这起因软件缺陷提起的起诉针对的是菲亚特的 Pacifica  面包车。原告指责菲亚特在多起用户投诉失速问题之后隐瞒 Pacifica 汽车传动系统控制模组（PCM）缺陷的信息，以让客户继续购买该型号汽车。菲亚特试图驳回诉讼，称投诉并不意味着证明汽车存在缺陷，或表明公司知道缺陷并进行隐瞒。法官同意菲亚特的理由，裁决原告不能单独将消费者的投诉作为缺陷的证据，但法官同时指出在原告购买汽车前菲亚特公布了两个与 Pacifica PCM 软件相关的技术服务公告，之后又发布了两个。法官认为有足够的证据相信菲亚特可能已经知道 Pacifica 汽车的失速问题。

三星手机用户报告，默认短消息应用 Samsung Messages 在用户不知情下将手机上的照片发送给随机联络人。其中一个案例声称，Samsung Messages 在午夜将手机相册里的全部照片发送给一个联络人，幸运的是这个联络人是其伴侣。但如果接收方是非亲密的联络人，那么你的私密生活可能就一览无遗了，如果你经常用手机拍照的话。三星发表声明称它已知情，正对此展开调查。问题被认为可能与 Samsung Messages 和运营商推送的 RCS (Rich Communication Services)更新有关。目前有两种方法暂时解决这个问题：撤销 Samsung Messages 的存储访问权限，或改用其它短消息应用。

IETF 的愚人节笑话“418 我是茶壶”错误码至今已有二十年历史了。这个错误码被 Node.js、ASP.NET 和 Google 的 Go 语言作为彩蛋实现了。结果本周，世界各地的大量用 NPM JavaScript 包管理器的开发者都遭遇了该错误码。当开发者尝试更新或安装新的 JavaScript/Node.js 包时，他们的终端或应用程序出现了“ERR! 418 I'm a teapot”。不是所有开发者都受到影响，受影响的是那些使用代理服务器的开发者。

由于算法错误 45 万英国年长女性错过了乳腺癌筛查，卫生大臣 Jeremy Hunt 已宣布对此展开独立调查。由于“算法错误”，年龄在 68 到 71 岁的女性在 2009 年没有被邀请参加最后一次乳腺癌筛查。出问题的软件是国家卫生系统的乳腺癌筛查调度软件。Hunt 称这次事件可能导致部分女性过早死亡，根据统计建模，过早死亡人数在 135 到 270 人之间。错误据称是在去年初筛查算法更新时发现的，一开始被认为只影响少数女性，今年初才知道影响范围之大，而公众直到本月初才被告知此事。政府称，错误检查的女性中有 309,000 仍然活着。英国国家卫生系统，英格兰公共卫生部，以及软件开发商日立咨询都将算法问题归咎于对方。

The Information 报道称（付费墙），今年三月发生在亚利桑那坦佩的 Uber 自主驾驶汽车致命车祸是软件 bug 导致的。这起车祸撞死了扶着自行车穿过马路的 Elaine Herzberg。报道援引两名匿名知情人士的消息称，汽车的传感器在 Herzberg 穿越马路时探测到了她，但软件将之分类为“假阳性”，认为不需要停下来。区分真实物体和虚假物体是开发自主驾驶软件的最基本挑战之一。软件需要识别前进路线上的物体如汽车、行人和大块石头，然后决定停车或转向以避开物体。另一些物体如塑料袋或垃圾则可以安全的忽略掉。此外传感器异常也会导致软件探测到不存在的物体。软件设计师面临的一个利弊权衡是：如果程序被编程的太过于谨慎，那么行驶速度将十分缓慢，会开开停停，乘客会感到不舒服；但相反则可能导致风险增加。这就是发生在坦佩悲剧所在， Uber 被指降低了自主驾驶系统的安全性以加快测试进度。

上个月发布的文件系统 ZFS on Linux 0.7.7 发现了数据损失 bug。当用户尝试拷贝一个包含大量文件（比如一万个文件）的文件夹时产生了文件系统已满没有空间的错误信息，而目标目录中的文件数量被发现少了数千个。一些人建议回滚到旧版本 0.7.6，但在 bug 报告仅仅三天之后，开发者就释出了修改该问题的 0.7.8 版，反应非常迅速。

过去几天，苹果的系统曝出了一个 bug，印度 Telugu 语的字符能让应用和系统崩溃。受影响的应用包括了苹果的 iMessage，第三方应用如 WhatsApp、Facebook Messenger、Gmail 和 Outlook，以及浏览器如 Safari 或 Chrome 。苹果用户还发现，如果 Telugu 语字符出现在通知中，那么整个系统将会崩溃。苹果在收到报告之后已经快速释出了更新，修改了导致崩溃的 bug。

官媒报道了一则与百度外卖系统相关的案件：2017 年 10 月，北京小度科技有限公司报案，称其旗下的 “百度外卖” 平台被他人以非法手段篡改系统，将提现金额改为负数，从而实现反向充值自己账户余额，并使用账户余额在 “百度外卖” 平台上进行消费，总共被篡改 4900 余万元，下单单数覆盖全国多个地区，人数达百余人，直接消费损失 30 余万元...海淀检方呼吁广大互联网企业要注意防范网络安全漏洞。

匿名读者 写道 "著名的《Mastering Bitcoin》（《精通比特币》）一书中有段Python代码有误（key-to-address-ecc-example.py），这段代码被广为流传。这个错误有极高的概率会根据一个正确的私钥生成一个错误的压缩公钥，从而产生一个错误的比特币收款地址，如果使用这个地址会导致比特币资金丢失。这段有BUG的代码从此书中的第一版中就已存在，最新的第二版本依旧存在这个BUG代码，当然，广为流传的中译版本中也自然存在。 下面是那段错误的代码及其修正：https://github.com/bitcoinbook/bitcoinbook/pull/483/files 

BUG的产生是encode函数没有保留前导字符零所致，下面是BUG演示，可见丢失了一个前导零的公钥产生了一个错误的比特币地址：

这其实并不是encode函数的错，一个正常的未添加前缀字符（"02"或"03"）的压缩公钥长度应该是32字节(64个字符)，encode函数会将10进制公钥转换成16进制字符串的形式，一旦当转换后的字符串长度不足64个字符的时候（极有可能出现的情况），encode函数并不会自动添加前导字符零以确保压缩公钥的长度为64个字符。zfill(64)的作用就是确保公钥为64个字符，不足的话进行补零。 以上演示数据可通过著名的比特币在线地址生成器进行查验：https://www.bitaddress.org

现已推送了一个合并请求(Pull Request)并提供了一段重现此BUG的代码，详细信息： https://github.com/bitcoinbook/bitcoinbook/pull/483"

CPU 的 Meltdown 和 Spectre 漏洞影响了几乎所有 PC，微软也已经释出了相关更新。但部分 AMD 用户在官方论坛上报告补丁导致了他们的机器无法启动进入 Windows。AMD 的处理器只部分受到 Spectre 漏洞的影响。使用 Athlon 处理器的用户报告在安装 KB4056892 补丁后就无法启动了，只剩下重新安装系统这唯一选项。还有用户称，重新安装也没有解决问题。

英特尔处理器曝出了一个严重的硬件设计漏洞，迫使主要操作系统和云计算服务商都忙着打补丁。因为漏洞信息没有解密，所以目前只能通过已发布的补丁反推这个漏洞。该漏洞是奥地利格拉茨技术大学（TU Graz）的一组研究人员发现的，他们在去年十月发布了最早的 KAISER 补丁集。去年 12 月，在内核邮件列表上，应 Linus 等人的要求，KAISER 被改名，内核开发者提出了一系列技术上正确的首字母缩写，包括 User Address Space Separation（uass）和 Forcefully Unmap Complete Kernel With Interrupt Trampolines（fuckwit），最后出于政治上正确的理由改名为 Kernel Page Table Isolation（KPTI）。从表面上看，KPTI 补丁是为了确保 ASLR 仍然有效。ASLR 是现代操作系统的一项安全功能，通过引入虚拟地址随机化阻止攻击者定位目标程序数据的位置。而在去年底举行的 34C3 会议上，TU Graz 的研究人员描述了一种纯 Javascript 的 ASLR 攻击（YouTube），通过组合高精度测时和选择性驱逐 CPU 缓存行，一个运行在浏览器上的 Javascript 程序能还原一个 Javascript 对象的虚拟地址，然后再利用浏览器的内存管理 bug 进行攻击。从表面上看，KAISER（KPTI）补丁的作者们演示了一种技术能暴露 ASLR 化的地址。问题看起来也和虚拟内存也有关。每当一些机器代码尝试加载、储存或跳到一个内存地址，CPU 都必须首先通过其管理的页表将这个虚拟地址翻译到物理地址。虚拟内存可能是现代操作系统最重要的特性之一，它能防止一个死亡的进程崩溃操作系统，一个浏览器 bug 崩溃桌面环境，或者一个虚拟机能影响到同一主机上的其它虚拟机。TU Graz 的研究人员此前曾在一篇论文里描述了一种新的 Rowhammer 提权攻击。

深圳普联的中继器固件被发现每 5 秒会发送 6 次 DNS 查询和 1 次 NTP 查询。它的固件硬编码了六个 NTP 服务器，没有任何的 DNS 缓存，每 5 秒查询一次这 6 个 NTP 服务器，相比之下 Windows 机器每周才发送一次 DNS 和一次 NTP 查询。普联的做法违反了 NTP Pool 项目的规定。NTP Pool 项目要求设备制造商和供应商注册自己的 NTP 服务器池如 tplink.pool.ntp.org，不要使用默认的 pool.ntp.org，最多每五分钟检查一次。

俄罗斯本周在东方港航天发射场使用 Soyuz-2-1b 火箭发射了 Meteor-M 气象卫星和 18 颗小卫星，但由于 Fregat 上面级发生故障导致所有卫星被送入了亚轨道，在大气层中烧毁。根据俄罗斯太空网站的报道，一个编程错误导致 Fregat 无法自己确定方向。报道称，Fregat 的飞行控制系统仍然是为拜科努尔发射场设置的，没有为新的东方港发射场正确设置。因此，当 Fregat 与火箭分离后，它未能发现正确的方向。当它点燃引擎将卫星送入轨道时，它仍然在尝试修正方向，它事实上是向下对着地球推送卫星的，导致卫星被送到了致命的亚轨道。

廉价 Android 手机供应商 Blu 最近几年因为来自中国的固件而引发了隐私和安全方面的争议，现在 Blu 又爆出了新的丑闻：它的最近更新锁住了用户。Blu 于 11 月 28 日向它的 One Life X2 智能手机推送了更新，用户随后在论坛，reddit 和官方 Facebook 主页抱怨在应用更新重启设备后无法解锁手机。手机不再能识别密码、Pin 码、图案锁，即使用户 100% 确定他们的输入是正确的。在失败解锁 10 次，用户的数据将会从设备上抹掉。有用户开玩笑的说一定是俄罗斯黑客干的。Blu 雇员则表示正在调查此事和尝试修复，对给用户造成的不便表示歉意。

macOS High Sierra 发现了一个 bug 让用户无需输入密码就能获得管理员权限。用户在登录窗口输入 root 用户名，不输入密码，然后点击解锁，多尝试几次用户就能以 root 权限登录系统。世界各地的 Mac 用户通过社交网络证实了这一 bug。苹果在一份声明中表示它正在开发补丁修复该 bug，建议用户设置 root 密码防止未经授权的访问。

多名 Bcache 用户在邮件列表和 Gentoo 的 Bugzilla 上报告，他们在更新到 Linux 4.14 后发生了文件系统损坏，数据全部丢失的严重事故。如果数据没有备份的话这无疑将会是灾难。Bcache 是块缓存(block cache)的缩写，允许将较快的储存设备如 SSD 作为较慢的存储设备如机械硬盘的读写缓存使用，它充当了一种本地加速器来改进性能。Bug 是在 74d46992e0d9 中引入的，稳定版内核维护者 Greg Kroah-Hartman 表示将会尽快释出更新。

在本周二的例行更新中，微软修复了公式编辑器的一个缓冲溢出漏洞 CVE-2017-11882。公式编辑器是 MS Office 中的一个古老组件，存在漏洞的公式编辑器可执行文件版本号是 2000.11.9.0，显示它可能是在 2000 年 11 月 9 日构建的，修改日期则是在 2003 年，它距今已有 17 年历史。本周释出补丁后它的文件版本号变更为 2017.8.14.0。看起来微软重新构建了公式编辑器。然而对补丁的详细分析发现，微软没有从源代码里修复漏洞，而是手动给二进制可执行文件打了补丁。微软此举可能是为了维持二进制兼容性，防止嵌入旧版本公式编辑器的文档出现问题。当然还有一种可能性是微软丢失了公式编辑器的源代码。