文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
ken:feigaobox@gmail.com
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。

Solidot 公告
投 票
热门评论
- 不如使用红星系统,随机截图实时上传 (1 points, 一般) by cutpigsrollaroundint 在 2019年02月17日01时40分 星期日 评论到 京东金融 APP 被发现会收集用户银行 APP 截图
- 邓修不以国别,而以孔家店为原则同样可以建立壁垒 (1 points, 一般) by solidot1528092189 在 2019年02月16日21时46分 星期六 评论到 吴修铭认为中国审查互联网是贸易壁垒
- 朝鲜才不会投资任何货币之类的价值符号。 (1 points, 一般) by solidot1528092189 在 2019年02月16日21时04分 星期六 评论到 摩根大通宣布自己的数字货币 JPM Coin
- 共产党应该学习共产主义政治教育,不应该学习国家主义政治教育。。 (1 points, 一般) by solidot1528092189 在 2019年02月16日20时58分 星期六 评论到 学习强国是中国最受欢迎的教育应用
- 中国对在校大学生的预备役军事训练并没有让大学生变得更好战。 (1 points, 一般) by solidot1528092189 在 2019年02月16日19时41分 星期六 评论到 研究发现暴力游戏和青少年好斗行为增加之间没有关联
- 美国发明网状分散布局的互联网是为了防止通讯中心被苏修一锅端。 (1 points, 一般) by solidot1528092189 在 2019年02月16日19时27分 星期六 评论到 分裂的互联网正变成一个战场
- 中国什么时候要求外国推行防火墙了?华尔街这明显是假新闻! (1 points, 一般) by jerry 在 2019年02月15日21时14分 星期五 评论到 分裂的互联网正变成一个战场
- 《纽约时报》不干了,是因为印度民意不好操控了? (1 points, 一般) by jerry 在 2019年02月15日19时45分 星期五 评论到 印度政府提议采用中国风格的互联网审查
- 上梁不正下梁歪 (1 points, 一般) by solidot1550043294 在 2019年02月15日18时30分 星期五 评论到 华南理工学院领导纂改研究生考生成绩
- yeah (1 points, 一般) by cnw 在 2019年02月15日18时15分 星期五 评论到 在播客中欣赏 Solidot
快速链接
致长期以来一直关注solidot的海内外朋友,请点击这里查看。
苹果 FaceTime 视频通话应用曝出了一个 bug,允许呼叫者在接听者同意接听前听到声音,这潜在可能会导致泄漏隐私。苹果在一份声明中表示它已经了解这一问题,修复 bug 的补丁会在本周晚些时候释出。bug 的触发有条件,用户在选择联系人进行 FaceTime 通话,切换选择添加新用户,但不是真的添加新用户,而是输入自己的号码将自己作为群组 FaceTime 视频通话的另一参与方,然后你就能听到接收者的声音了。这个 bug 并不能用于监听,但确实可能会让接收者吃一惊。
程序总是不可避免会存在 bug,发现 bug 然后修复是程序员日常生活的一部分。但这个过程非常耗时间,因此有些研究人员想要设计出机器人程序去自动化这个流程。但这些机器人程序写的代码质量不高,通常不会被接受。大多数情况下,程序员都是利用机器人程序去寻找 bug 然后自己写代码去修复。现在,瑞典皇家理工学院的研究人员开发的机器人程序能写出高质量的代码。研究人员称他们的机器人程序叫 Repairnator,将其伪造成人类用户 Luc Esape,在流行的代码托管平台 GitHub 上与人类开发者竞争修 bug。第一次测试不成功,Repairnator 写的代码质量太低而没有被发现 bug 的项目接受。第二次测试比较成功,Repairnator 写的五个补丁被接受了。他们的论文《Human-competitive Patches in Automatic Program Repair with Repairnator》发表在预印本网站上。
微软本周释出了一个新补丁 KB4464330 (build 17763.55) 去解决 Windows 10 October 2018 Update 的一个文件删除 bug。但新补丁给部分用户带来了新的问题。惠普用户报告在安装补丁后电脑出现了蓝屏死机,据称部分戴尔电脑也受到影响。根据微软技术支持论坛的讨论,KB4464330 与惠普的键盘驱动文件 HpqKbFiltr.sys 有冲突,重命名文件或能解决。用户可通过命令行提示符,将 c:\windows\system32\drivers 文件夹下的– ren HpqKbFiltr.sys 重命名为 HpqKbFiltr.sys_old –,然后重启。但也用户称该方法无效。微软表示正对此展开调查。
在修复了数据删除问题之后,微软重新释出了 Windows 10 October 2018 Update。Windows Servicing and Delivery 的总监 John Cable 在官方博客上详细解释了这一问题。John Cable 称遭遇数据丢失问题的用户很少,他们已经调查了所有数据丢失的报告,修复了所有已知的问题,并进行了内部验证。导致数据丢失的问题与文件夹重定向功能有关。当用户使用文件夹重定向将一个已知的文件夹重定向到另一个磁盘,比如为了节省 C 盘空间而将 c:\users\username\documents 重定向到 D:\documents,如果原文件夹中的内容没有移动,那么升级到 Windows 10 October 2018 Update 时原文件夹包括其中的文件会被删除,只保留新的文件夹。其它的数据删除案例与 OneDrive 有关。
在发布 Windows 10 之后,微软开始转向软件即服务的模式,每月安全更新每半年大更新一次。但微软频繁的更新并没有给所有用户带来舒服的体验,事实上微软的更新给很多人带来了麻烦,尤其是使用旧电脑的用户。微软 MVP Susan Bradley 调查了 1000 多人对 Windows 10 更新体验的看法,将用户经历的糟糕体验报告给了软件巨人。结果,微软官方博客发表了文章,称它的补丁简单、合格且一致。微软的 John Wilcox 称,它的更新服务原则是简单、可预测、敏捷和透明,微软预测 IT 管理人员应该能应付补丁问题。
由 Gearbox 开发世嘉发行的异形系列游戏《异形:殖民军》在 2013 年发布之后恶评如潮,其 Metacritic 评分仅为 45/100。游戏的开发本身也经历了很多波折,发布之后的作品被认为是半成品,它饱受批评的一个最大问题就是异形的 AI 很烂。Gearbox 早已放弃了这个游戏,但粉丝没有放弃。粉丝去年底发布了一个补丁,修复了游戏的大量问题。其中修复 AI 的问题刚刚被人注意到:在游戏的 PecanEngine.in 文件中,给异形分配 AI 指令的 tether 系统有一处输错了,开发者将名词 tether 输错成了 teather,只要把这个错误修正过来,游戏的 AI 就有了显著改善。玩家和记者已经测试了这个补丁,发现修复后的 AI 与旧的怪物 AI 简直有天壤之别。
加州的一名法官允许针对菲亚特克莱斯勒的集体诉讼继续进行。这起因软件缺陷提起的起诉针对的是菲亚特的 Pacifica 面包车。原告指责菲亚特在多起用户投诉失速问题之后隐瞒 Pacifica 汽车传动系统控制模组(PCM)缺陷的信息,以让客户继续购买该型号汽车。菲亚特试图驳回诉讼,称投诉并不意味着证明汽车存在缺陷,或表明公司知道缺陷并进行隐瞒。法官同意菲亚特的理由,裁决原告不能单独将消费者的投诉作为缺陷的证据,但法官同时指出在原告购买汽车前菲亚特公布了两个与 Pacifica PCM 软件相关的技术服务公告,之后又发布了两个。法官认为有足够的证据相信菲亚特可能已经知道 Pacifica 汽车的失速问题。
三星手机用户报告,默认短消息应用 Samsung Messages 在用户不知情下将手机上的照片发送给随机联络人。其中一个案例声称,Samsung Messages 在午夜将手机相册里的全部照片发送给一个联络人,幸运的是这个联络人是其伴侣。但如果接收方是非亲密的联络人,那么你的私密生活可能就一览无遗了,如果你经常用手机拍照的话。三星发表声明称它已知情,正对此展开调查。问题被认为可能与 Samsung Messages 和运营商推送的 RCS (Rich Communication Services)更新有关。目前有两种方法暂时解决这个问题:撤销 Samsung Messages 的存储访问权限,或改用其它短消息应用。
由于算法错误 45 万英国年长女性错过了乳腺癌筛查,卫生大臣 Jeremy Hunt 已宣布对此展开独立调查。由于“算法错误”,年龄在 68 到 71 岁的女性在 2009 年没有被邀请参加最后一次乳腺癌筛查。出问题的软件是国家卫生系统的乳腺癌筛查调度软件。Hunt 称这次事件可能导致部分女性过早死亡,根据统计建模,过早死亡人数在 135 到 270 人之间。错误据称是在去年初筛查算法更新时发现的,一开始被认为只影响少数女性,今年初才知道影响范围之大,而公众直到本月初才被告知此事。政府称,错误检查的女性中有 309,000 仍然活着。英国国家卫生系统,英格兰公共卫生部,以及软件开发商日立咨询都将算法问题归咎于对方。
The Information 报道称(付费墙),今年三月发生在亚利桑那坦佩的 Uber 自主驾驶汽车致命车祸是软件 bug 导致的。这起车祸撞死了扶着自行车穿过马路的 Elaine Herzberg。报道援引两名匿名知情人士的消息称,汽车的传感器在 Herzberg 穿越马路时探测到了她,但软件将之分类为“假阳性”,认为不需要停下来。区分真实物体和虚假物体是开发自主驾驶软件的最基本挑战之一。软件需要识别前进路线上的物体如汽车、行人和大块石头,然后决定停车或转向以避开物体。另一些物体如塑料袋或垃圾则可以安全的忽略掉。此外传感器异常也会导致软件探测到不存在的物体。软件设计师面临的一个利弊权衡是:如果程序被编程的太过于谨慎,那么行驶速度将十分缓慢,会开开停停,乘客会感到不舒服;但相反则可能导致风险增加。这就是发生在坦佩悲剧所在, Uber 被指降低了自主驾驶系统的安全性以加快测试进度。
上个月发布的文件系统 ZFS on Linux 0.7.7 发现了数据损失 bug。当用户尝试拷贝一个包含大量文件(比如一万个文件)的文件夹时产生了文件系统已满没有空间的错误信息,而目标目录中的文件数量被发现少了数千个。一些人建议回滚到旧版本 0.7.6,但在 bug 报告仅仅三天之后,开发者就释出了修改该问题的 0.7.8 版,反应非常迅速。
过去几天,苹果的系统曝出了一个 bug,印度 Telugu 语的字符能让应用和系统崩溃。受影响的应用包括了苹果的 iMessage,第三方应用如 WhatsApp、Facebook Messenger、Gmail 和 Outlook,以及浏览器如 Safari 或 Chrome 。苹果用户还发现,如果 Telugu 语字符出现在通知中,那么整个系统将会崩溃。苹果在收到报告之后已经快速释出了更新,修改了导致崩溃的 bug。
官媒报道了一则与百度外卖系统相关的案件:2017 年 10 月,北京小度科技有限公司报案,称其旗下的 “百度外卖” 平台被他人以非法手段篡改系统,将提现金额改为负数,从而实现反向充值自己账户余额,并使用账户余额在 “百度外卖” 平台上进行消费,总共被篡改 4900 余万元,下单单数覆盖全国多个地区,人数达百余人,直接消费损失 30 余万元...海淀检方呼吁广大互联网企业要注意防范网络安全漏洞。
匿名读者 写道 "著名的《Mastering Bitcoin》(《精通比特币》)一书中有段Python代码有误(key-to-address-ecc-example.py),这段代码被广为流传。这个错误有极高的概率会根据一个正确的私钥生成一个错误的压缩公钥,从而产生一个错误的比特币收款地址,如果使用这个地址会导致比特币资金丢失。这段有BUG的代码从此书中的第一版中就已存在,最新的第二版本依旧存在这个BUG代码,当然,广为流传的中译版本中也自然存在。
下面是那段错误的代码及其修正:https://github.com/bitcoinbook/bitcoinbook/pull/483/files
BUG的产生是encode函数没有保留前导字符零所致,下面是BUG演示,可见丢失了一个前导零的公钥产生了一个错误的比特币地址:
这其实并不是encode函数的错,一个正常的未添加前缀字符("02"或"03")的压缩公钥长度应该是32字节(64个字符),encode函数会将10进制公钥转换成16进制字符串的形式,一旦当转换后的字符串长度不足64个字符的时候(极有可能出现的情况),encode函数并不会自动添加前导字符零以确保压缩公钥的长度为64个字符。zfill(64)的作用就是确保公钥为64个字符,不足的话进行补零。 以上演示数据可通过著名的比特币在线地址生成器进行查验:https://www.bitaddress.org
现已推送了一个合并请求(Pull Request)并提供了一段重现此BUG的代码,详细信息: https://github.com/bitcoinbook/bitcoinbook/pull/483"
英特尔处理器曝出了一个严重的硬件设计漏洞,迫使主要操作系统和云计算服务商都忙着打补丁。因为漏洞信息没有解密,所以目前只能通过已发布的补丁反推这个漏洞。该漏洞是奥地利格拉茨技术大学(TU Graz)的一组研究人员发现的,他们在去年十月发布了最早的 KAISER 补丁集。去年 12 月,在内核邮件列表上,应 Linus 等人的要求,KAISER 被改名,内核开发者提出了一系列技术上正确的首字母缩写,包括 User Address Space Separation(uass)和 Forcefully Unmap Complete Kernel With Interrupt Trampolines(fuckwit),最后出于政治上正确的理由改名为 Kernel Page Table Isolation(KPTI)。从表面上看,KPTI 补丁是为了确保 ASLR 仍然有效。ASLR 是现代操作系统的一项安全功能,通过引入虚拟地址随机化阻止攻击者定位目标程序数据的位置。而在去年底举行的 34C3 会议上,TU Graz 的研究人员描述了一种纯 Javascript 的 ASLR 攻击(YouTube),通过组合高精度测时和选择性驱逐 CPU 缓存行,一个运行在浏览器上的 Javascript 程序能还原一个 Javascript 对象的虚拟地址,然后再利用浏览器的内存管理 bug 进行攻击。从表面上看,KAISER(KPTI)补丁的作者们演示了一种技术能暴露 ASLR 化的地址。问题看起来也和虚拟内存也有关。每当一些机器代码尝试加载、储存或跳到一个内存地址,CPU 都必须首先通过其管理的页表将这个虚拟地址翻译到物理地址。虚拟内存可能是现代操作系统最重要的特性之一,它能防止一个死亡的进程崩溃操作系统,一个浏览器 bug 崩溃桌面环境,或者一个虚拟机能影响到同一主机上的其它虚拟机。TU Graz 的研究人员此前曾在一篇论文里描述了一种新的 Rowhammer 提权攻击。
深圳普联的中继器固件被发现每 5 秒会发送 6 次 DNS 查询和 1 次 NTP 查询。它的固件硬编码了六个 NTP 服务器,没有任何的 DNS 缓存,每 5 秒查询一次这 6 个 NTP 服务器,相比之下 Windows 机器每周才发送一次 DNS 和一次 NTP 查询。普联的做法违反了 NTP Pool 项目的规定。NTP Pool 项目要求设备制造商和供应商注册自己的 NTP 服务器池如 tplink.pool.ntp.org,不要使用默认的 pool.ntp.org,最多每五分钟检查一次。