IETF 的愚人节笑话“418 我是茶壶”错误码至今已有二十年历史了。这个错误码被 Node.js、ASP.NET 和 Google 的 Go 语言作为彩蛋实现了。结果本周，世界各地的大量用 NPM JavaScript 包管理器的开发者都遭遇了该错误码。当开发者尝试更新或安装新的 JavaScript/Node.js 包时，他们的终端或应用程序出现了“ERR! 418 I'm a teapot”。不是所有开发者都受到影响，受影响的是那些使用代理服务器的开发者。

由于算法错误 45 万英国年长女性错过了乳腺癌筛查，卫生大臣 Jeremy Hunt 已宣布对此展开独立调查。由于“算法错误”，年龄在 68 到 71 岁的女性在 2009 年没有被邀请参加最后一次乳腺癌筛查。出问题的软件是国家卫生系统的乳腺癌筛查调度软件。Hunt 称这次事件可能导致部分女性过早死亡，根据统计建模，过早死亡人数在 135 到 270 人之间。错误据称是在去年初筛查算法更新时发现的，一开始被认为只影响少数女性，今年初才知道影响范围之大，而公众直到本月初才被告知此事。政府称，错误检查的女性中有 309,000 仍然活着。英国国家卫生系统，英格兰公共卫生部，以及软件开发商日立咨询都将算法问题归咎于对方。

The Information 报道称（付费墙），今年三月发生在亚利桑那坦佩的 Uber 自主驾驶汽车致命车祸是软件 bug 导致的。这起车祸撞死了扶着自行车穿过马路的 Elaine Herzberg。报道援引两名匿名知情人士的消息称，汽车的传感器在 Herzberg 穿越马路时探测到了她，但软件将之分类为“假阳性”，认为不需要停下来。区分真实物体和虚假物体是开发自主驾驶软件的最基本挑战之一。软件需要识别前进路线上的物体如汽车、行人和大块石头，然后决定停车或转向以避开物体。另一些物体如塑料袋或垃圾则可以安全的忽略掉。此外传感器异常也会导致软件探测到不存在的物体。软件设计师面临的一个利弊权衡是：如果程序被编程的太过于谨慎，那么行驶速度将十分缓慢，会开开停停，乘客会感到不舒服；但相反则可能导致风险增加。这就是发生在坦佩悲剧所在， Uber 被指降低了自主驾驶系统的安全性以加快测试进度。

上个月发布的文件系统 ZFS on Linux 0.7.7 发现了数据损失 bug。当用户尝试拷贝一个包含大量文件（比如一万个文件）的文件夹时产生了文件系统已满没有空间的错误信息，而目标目录中的文件数量被发现少了数千个。一些人建议回滚到旧版本 0.7.6，但在 bug 报告仅仅三天之后，开发者就释出了修改该问题的 0.7.8 版，反应非常迅速。

过去几天，苹果的系统曝出了一个 bug，印度 Telugu 语的字符能让应用和系统崩溃。受影响的应用包括了苹果的 iMessage，第三方应用如 WhatsApp、Facebook Messenger、Gmail 和 Outlook，以及浏览器如 Safari 或 Chrome 。苹果用户还发现，如果 Telugu 语字符出现在通知中，那么整个系统将会崩溃。苹果在收到报告之后已经快速释出了更新，修改了导致崩溃的 bug。

官媒报道了一则与百度外卖系统相关的案件：2017 年 10 月，北京小度科技有限公司报案，称其旗下的 “百度外卖” 平台被他人以非法手段篡改系统，将提现金额改为负数，从而实现反向充值自己账户余额，并使用账户余额在 “百度外卖” 平台上进行消费，总共被篡改 4900 余万元，下单单数覆盖全国多个地区，人数达百余人，直接消费损失 30 余万元...海淀检方呼吁广大互联网企业要注意防范网络安全漏洞。

匿名读者 写道 "著名的《Mastering Bitcoin》（《精通比特币》）一书中有段Python代码有误（key-to-address-ecc-example.py），这段代码被广为流传。这个错误有极高的概率会根据一个正确的私钥生成一个错误的压缩公钥，从而产生一个错误的比特币收款地址，如果使用这个地址会导致比特币资金丢失。这段有BUG的代码从此书中的第一版中就已存在，最新的第二版本依旧存在这个BUG代码，当然，广为流传的中译版本中也自然存在。 下面是那段错误的代码及其修正：https://github.com/bitcoinbook/bitcoinbook/pull/483/files 

BUG的产生是encode函数没有保留前导字符零所致，下面是BUG演示，可见丢失了一个前导零的公钥产生了一个错误的比特币地址：

这其实并不是encode函数的错，一个正常的未添加前缀字符（"02"或"03"）的压缩公钥长度应该是32字节(64个字符)，encode函数会将10进制公钥转换成16进制字符串的形式，一旦当转换后的字符串长度不足64个字符的时候（极有可能出现的情况），encode函数并不会自动添加前导字符零以确保压缩公钥的长度为64个字符。zfill(64)的作用就是确保公钥为64个字符，不足的话进行补零。 以上演示数据可通过著名的比特币在线地址生成器进行查验：https://www.bitaddress.org

现已推送了一个合并请求(Pull Request)并提供了一段重现此BUG的代码，详细信息： https://github.com/bitcoinbook/bitcoinbook/pull/483"

CPU 的 Meltdown 和 Spectre 漏洞影响了几乎所有 PC，微软也已经释出了相关更新。但部分 AMD 用户在官方论坛上报告补丁导致了他们的机器无法启动进入 Windows。AMD 的处理器只部分受到 Spectre 漏洞的影响。使用 Athlon 处理器的用户报告在安装 KB4056892 补丁后就无法启动了，只剩下重新安装系统这唯一选项。还有用户称，重新安装也没有解决问题。

英特尔处理器曝出了一个严重的硬件设计漏洞，迫使主要操作系统和云计算服务商都忙着打补丁。因为漏洞信息没有解密，所以目前只能通过已发布的补丁反推这个漏洞。该漏洞是奥地利格拉茨技术大学（TU Graz）的一组研究人员发现的，他们在去年十月发布了最早的 KAISER 补丁集。去年 12 月，在内核邮件列表上，应 Linus 等人的要求，KAISER 被改名，内核开发者提出了一系列技术上正确的首字母缩写，包括 User Address Space Separation（uass）和 Forcefully Unmap Complete Kernel With Interrupt Trampolines（fuckwit），最后出于政治上正确的理由改名为 Kernel Page Table Isolation（KPTI）。从表面上看，KPTI 补丁是为了确保 ASLR 仍然有效。ASLR 是现代操作系统的一项安全功能，通过引入虚拟地址随机化阻止攻击者定位目标程序数据的位置。而在去年底举行的 34C3 会议上，TU Graz 的研究人员描述了一种纯 Javascript 的 ASLR 攻击（YouTube），通过组合高精度测时和选择性驱逐 CPU 缓存行，一个运行在浏览器上的 Javascript 程序能还原一个 Javascript 对象的虚拟地址，然后再利用浏览器的内存管理 bug 进行攻击。从表面上看，KAISER（KPTI）补丁的作者们演示了一种技术能暴露 ASLR 化的地址。问题看起来也和虚拟内存也有关。每当一些机器代码尝试加载、储存或跳到一个内存地址，CPU 都必须首先通过其管理的页表将这个虚拟地址翻译到物理地址。虚拟内存可能是现代操作系统最重要的特性之一，它能防止一个死亡的进程崩溃操作系统，一个浏览器 bug 崩溃桌面环境，或者一个虚拟机能影响到同一主机上的其它虚拟机。TU Graz 的研究人员此前曾在一篇论文里描述了一种新的 Rowhammer 提权攻击。

深圳普联的中继器固件被发现每 5 秒会发送 6 次 DNS 查询和 1 次 NTP 查询。它的固件硬编码了六个 NTP 服务器，没有任何的 DNS 缓存，每 5 秒查询一次这 6 个 NTP 服务器，相比之下 Windows 机器每周才发送一次 DNS 和一次 NTP 查询。普联的做法违反了 NTP Pool 项目的规定。NTP Pool 项目要求设备制造商和供应商注册自己的 NTP 服务器池如 tplink.pool.ntp.org，不要使用默认的 pool.ntp.org，最多每五分钟检查一次。

俄罗斯本周在东方港航天发射场使用 Soyuz-2-1b 火箭发射了 Meteor-M 气象卫星和 18 颗小卫星，但由于 Fregat 上面级发生故障导致所有卫星被送入了亚轨道，在大气层中烧毁。根据俄罗斯太空网站的报道，一个编程错误导致 Fregat 无法自己确定方向。报道称，Fregat 的飞行控制系统仍然是为拜科努尔发射场设置的，没有为新的东方港发射场正确设置。因此，当 Fregat 与火箭分离后，它未能发现正确的方向。当它点燃引擎将卫星送入轨道时，它仍然在尝试修正方向，它事实上是向下对着地球推送卫星的，导致卫星被送到了致命的亚轨道。

廉价 Android 手机供应商 Blu 最近几年因为来自中国的固件而引发了隐私和安全方面的争议，现在 Blu 又爆出了新的丑闻：它的最近更新锁住了用户。Blu 于 11 月 28 日向它的 One Life X2 智能手机推送了更新，用户随后在论坛，reddit 和官方 Facebook 主页抱怨在应用更新重启设备后无法解锁手机。手机不再能识别密码、Pin 码、图案锁，即使用户 100% 确定他们的输入是正确的。在失败解锁 10 次，用户的数据将会从设备上抹掉。有用户开玩笑的说一定是俄罗斯黑客干的。Blu 雇员则表示正在调查此事和尝试修复，对给用户造成的不便表示歉意。

macOS High Sierra 发现了一个 bug 让用户无需输入密码就能获得管理员权限。用户在登录窗口输入 root 用户名，不输入密码，然后点击解锁，多尝试几次用户就能以 root 权限登录系统。世界各地的 Mac 用户通过社交网络证实了这一 bug。苹果在一份声明中表示它正在开发补丁修复该 bug，建议用户设置 root 密码防止未经授权的访问。

多名 Bcache 用户在邮件列表和 Gentoo 的 Bugzilla 上报告，他们在更新到 Linux 4.14 后发生了文件系统损坏，数据全部丢失的严重事故。如果数据没有备份的话这无疑将会是灾难。Bcache 是块缓存(block cache)的缩写，允许将较快的储存设备如 SSD 作为较慢的存储设备如机械硬盘的读写缓存使用，它充当了一种本地加速器来改进性能。Bug 是在 74d46992e0d9 中引入的，稳定版内核维护者 Greg Kroah-Hartman 表示将会尽快释出更新。

在本周二的例行更新中，微软修复了公式编辑器的一个缓冲溢出漏洞 CVE-2017-11882。公式编辑器是 MS Office 中的一个古老组件，存在漏洞的公式编辑器可执行文件版本号是 2000.11.9.0，显示它可能是在 2000 年 11 月 9 日构建的，修改日期则是在 2003 年，它距今已有 17 年历史。本周释出补丁后它的文件版本号变更为 2017.8.14.0。看起来微软重新构建了公式编辑器。然而对补丁的详细分析发现，微软没有从源代码里修复漏洞，而是手动给二进制可执行文件打了补丁。微软此举可能是为了维持二进制兼容性，防止嵌入旧版本公式编辑器的文档出现问题。当然还有一种可能性是微软丢失了公式编辑器的源代码。

绝大多数软件的 bug 不会杀死你，但自主驾驶汽车的 AI 可能是一个例外，错误可能会导致 AI 在错误的时间做出错误的决定。哥伦比亚大学和 Lehigh 大学的研究人员设计的 DeepXplore 方法能在不同神经网络触发尽可能多的冲突决策，系统性的暴露软件错误。比如 DeepXplore 在 Nvidia 的 DAVE-2 自主驾驶软件发现了一个错误，能导致汽车撞上公路上的护栏。研究人员深知，只要恶意的黑客能利用一个 bug，整个系统就仍然是脆弱的。研究人员的测试发现，DeepXplore 在各种深度学习应用中发现了数以千计的以前未知的 Bug。它并不能保证能发现系统的所有 bug。

亚利桑那州彩票官员正在调查产生中奖号码的随机数生成器。在“All or Nothing”抽奖中，随机数生成器在 9 月 28 日和 30 日产生了相同的中奖号码“2-4-5-6-8-10-12-14-17-19”，9 月 29 日和 10 月 3 日又产生了相同号码“4-8-9-10-11-13-14-16-18-19”。在另一个抽奖“Pick 3”中，随机数生成器在 9 月 29 日和 10 月 3 日产生相同号码。同样的情况还发生在“5 Card Cash”抽奖中。发生故障的机器已经移除以等待调查结果。亚利桑那州使用了三个随机数生成器，都没有联网。

深圳万普拉斯科技有限公司上个月发布了被誉为“500 美元以内的最佳手机” OnePlus 5（或一加五）。但新手机的用户很快反应这款手机存在一系列问题， 其中一个严重问题是手机在拨打 911 后重启。Reddit 用户 Nick Morrelli 称他在西雅图看到一座建筑物起火拨打 911 报警后发生了重启故障，另一些用户报告他们无法在手机上拨打 911 或 999（英国的紧急服务号码）。这一故障看起来并没有影响所有一加五手机用户，但即便只影响少数人它也是一个严重的问题。一加表示正在联系受影响客户调查这个问题。

本周一，在 Google Finance、Yahoo Finance 和 Bloomberg 等流行金融网站上，苹果和亚马逊等公司的股票出现暴跌，但实际上这些企业的真实股价波动并不大。这件事看起来像是金融网站的数据源出现了 bug。许多受影响公司的股价显示为 123.47 美元，看起来像是源自 123.456。在 Google Finance 上，亚马逊的股价暴跌 87% 至 $123.47，在 Yahoo Finance 上，亚马逊的股票暴跌 74% 至 $248.49，事实上亚马逊的股价为 $953.66，下跌了 1.5%。在 Google 和 Yahoo Finance 上，苹果的股票下跌 14.3% 至 $123.47，但实际上苹果的股票 $143.50。纳斯达克发言人将此事归咎于第三方数据供应商。

上周末，Debian 开发者在邮件列表上向用户发出警告，英特尔第六代和第七代 Core 处理器（Skylake/Kaby Lake）在启用超线程时发现存在一个处理器 / 微码缺陷。但该 bug 的影响究竟有多大？Ahrefs 的 Joris Giovannangeli 在博客上描述了他们遭遇该 bug 的经过。 2016 年底，该公司后端开发者团队部分成员开始使用新的笔记本电脑，工程师 Enguerrand Decorne 几天后在机器上编译 OCaml 时遭遇了不同寻常的崩溃。这个问题一开始只影响 Enguerrand 的机器，所以他们认为可能是这台机器的系统配置问题。但随后他们对该问题的担忧加重了，使用 Skylake Xeon 处理器的服务器集群在部署一个服务后，被发现向储存系统插入了破坏的数据。开发者开始收集更多的信息，并且在其它机器上复现了同样的问题。他们开始诊断问题的根源。他们猜测问题与虚拟机软件 VMware 有关，于是切换到 Virtualbox，但崩溃继续发生。在物理机器上遭遇同样问题上，他们排除了虚拟机软件 bug 的可能性。经过漫长的搜寻之后，在注意到所有发生崩溃的机器都使用 Skylake 家族处理器之后，在发现 Debian 上的 Skylake 微码更新通知后，他们最终确认它是一个处理器 bug。