文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
Solidot 公告
投 票
热门评论
- 错别字 (1 points, 一般) by 陈少举 在 2024年11月02日23时42分 星期六 评论到 Linus Torvalds 用电动汽车取代了燃油汽车
- BaD kEyBoArD: tYpO (1 points, 一般) by lot 在 2024年09月25日21时26分 星期三 评论到 美国汽车召回愈五分之一是修复软件
- Guo farm accumulated wealth, the ants lost all the (1 points, 一般) by solidot1727141937 在 2024年09月24日09时39分 星期二 评论到 日本科学家用猫制作 iPS 细胞
- 但是又快又便宜 (1 points, 一般) by Craynic 在 2024年09月09日13时12分 星期一 评论到 澳大利亚政府研究发现 AI 在概述上的表现比人类差
- (1 points, 一般) by gashero 在 2024年09月04日12时41分 星期三 评论到 众多高校撤销外语专业
- 让他们贴支付宝或微信捐款的方式 (1 points, 一般) by solidot1725066425 在 2024年08月31日09时08分 星期六 评论到 KDE 将每年通过桌面通知请求一次捐赠
- 更现代? (1 points, 一般) by Craynic 在 2024年08月28日13时15分 星期三 评论到 微软撤回了弃用控制面板的声明
- 对延迟退休的错误理解 (1 points, 一般) by solidot1723550599 在 2024年08月13日20时09分 星期二 评论到 中国人 50 岁后还能健康工作多少年?
- (1 points, 一般) by solidot1723275683 在 2024年08月10日15时45分 星期六 评论到 甜味剂赤藻糖醇可能增加心血管疾病风险
- 不值得信任google (1 points, 一般) by solidot1722426862 在 2024年07月31日19时56分 星期三 评论到 Chrome 服务故障导致部分用户无法访问保存的密码
随着基于大模型的 AI 系统的流行,越来越多的人使用它们去寻找 bug 和报告 bug。但众所周知大模型有“幻觉”,也就是会胡说八道,它们产生的结果通常似是而非,需要人花时间去进行判断。如果一名开源维护者收到了大量 AI 产生的 bug 报告,那么他们宝贵的时间就被浪费在鉴别 bug 报告的有效性上。Python 软件基金会安全研究员 Seth Larson 呼吁不要使用 AI 报告 Bug,认为低质量的报告应该被视为是恶意的。Curl 维护者 Daniel Stenberg 称低质量的 AI 报告给维护者带来了不必要的负担。Larson 认为开源社区应尽早采取行动,建议 bug 报告者在未经人工验证的情况下不要提交报告。
Windows 11 用户可能注意到了,微软开始大规模推送 Windows 11 24H2。合格设备会看到升级提示。但随着更多用户升级到新版本,微软的状态页面也确认了更多 bug,其中一个新披露的问题是安装中国税务申报和政府使用应用的 PC 在升级到 Windows 11 24H2 过程中可能遭遇蓝屏死机。微软没有公开软件名称,只是强调是问题源自于与这些软件一起安装的“集成软件”,有多个应用都会安装该集成软件。微软表示它将限制安装了该集成软件的 PC 升级到 Windows 11 24H2。
美国汽车共享应用 Zipcar 上周五遭遇宕机事故,导致租车客户无法锁车和还车,凸显了过于依赖应用的风险。Zipcar 被用于定位汽车、解锁和锁定汽车、分享车辆图像以证明没有损坏,以及报告问题。整个过程无需与人互动。但宕机事故导致了客户无法解锁汽车,无法锁定汽车,也无法在租赁到期前归还汽车。有客户报告了逾 100 美元的延迟费,虽然客服最后表示这笔钱可以免除。还有客户称护照被锁在车内无法取出,导致错过了航班和期末考试。Zipcar 没有披露有多少人受到影响,只是表示正采取补救措施。
微软临时阻止安装刺客信条等育碧游戏的 PC 更新到 Windows 11 24H2。此前用户通过 Reddit 和官方论坛 Microsoft Answers 报告更新到 Windows 11 24H2 后游戏突然崩溃。微软已证实了问题的存在,它表示受影响的育碧游戏包括了《刺客信条:英灵殿》、《刺客信条:起源》、《刺客信条:奥德赛》、《星球大战:法外狂徒》和《阿凡达:潘多拉边境》。其他玩家报告《孤岛惊魂》和《使命召唤》存在类似的问题。育碧已为其星球大战游戏发布了临时补丁,正在开发永久性补丁。问题被认为与 ntdll.dll 有关。
微软正向合格设备推送其 Windows 11 24H2,但部分用户在安装更新后报告了蓝屏死机等故障。某些类型设备面临更高的故障风险,软件巨人为此发出了警告。目前受影响的主要是运行英特尔处理器的设备,列入最新警告名单的是华硕的两款笔记本电脑 X415KA 和 X515KA,它们都配备了英特尔第 10/11 代酷睿芯片。微软建议华硕笔记本用户不要手动更新到 Windows 11 24H2,表示正与华硕合作解决问题。此前受影响的英特尔设备与旧的声音驱动相关。
三星在 10 月 2 日释出了软件更新,结果导致部分旧型号 Galaxy 手机变砖。三星证实是管理智能设备的 SmartThings Framework 应用更新导致了该问题,在发现问题之后它立即暂停了更新,正致力于解决该问题。受影响的型号包括了 Galaxy S10 系列、Galaxy Note 10 系列、Galaxy M51 和 Galaxy A90。这些型号的手机在更新之后无法重启回滚更新。用户们将面临选择:放弃手机或抹掉所有数据恢复出厂设置。
用户报告 Windows 11 最新可选更新 KB5043145 导致了大量问题,包括蓝屏死机、键盘和鼠标功能失效、USB 端口故障、WSL 2 和 Wi-Fi 问题等等。微软据报道已知道出问题了,但尚未发布任何官方补救措施的信息。键盘和鼠标功能失效会增加修复问题的难度,但部分用户反馈系统会自动进入恢复模式。受影响的硬件包括了华硕的 TUF A15 (2022) 和 ROG Strix G17 笔电、英特尔 NUC N6005 和 N5105、联想笔电和多种 AMD 系统。
当你以为微软做好事时,它其实是在犯错。在 Windows 11 的新测试版本,微软受争议的 AI 功能 Recall 被发现提供了卸载选项。但现在微软发表声明,称这是 bug 不是特性。Windows 高级产品经理 Brandon LeBlanc 表示,Recall 被错误地列为控制面板“打开或关闭 Windows 功能”对话框下的一个选项,该问题将在即将推出的更新中修复。被认为存在隐私隐患的 Windows Recall 将是不可卸载的。
微软上周释出的例行安全更新修复了一个有两年历史的 GRUB 漏洞 CVE-2022-2601。该漏洞的危险等级是 8.6/10,GRUB 是一个开源引导加载程序,被很多 Linux 设备使用,该漏洞允许攻击者绕过安全启动(secure boot)。CVE-2022-2601 是在 2022 年披露的,而微软直到上周才修复。在修复之后,运行双系统的 Linux 用户报告设备无法启动了。微软尚未对此发表公开声明,用户的一种权宜之计是在 EFI 面板中关闭安全启动,但这显然是无法接受的。另一种解决方法是卸载微软上周释出的补丁,这意味着 GRUB 漏洞仍然存在。
发表在《Frontiers of Computer Science》期刊上的一项研究发现,94% 用于商业决策的电子表格包含重大错误,凸显了巨大的财务和运营错误风险。电子表格中的错误可能导致决策失误,造成财务损失、定价错误以及运营问题。论文主要作者 Pak-Lok Poon 解释说,随着愈来愈多未经正式培训的人创建自己的电子表格,错误的发生率在增加,他指出很多终端用户缺乏恰当的软件开发培训,导致了更多的错误。
Google Chrome 披露,由于一个没有正确功能保护的产品行为变化导致大量用户在长达 18 个小时内无法访问或找到密码管理器保存的密码。Google 表示它已经部署了修复程序缓解了该问题,它对其服务故障导致的不便表达了歉意。Google 称受影响的是 Windows 平台上的 M127 版 Chrome 浏览器。它向四分之一的用户推送了有问题的配置变更,有 2% 的用户遭遇密码访问问题。Google 表示受影响的用户只需要重启浏览器。鉴于 Chrome 庞大的用户基数,2% 可能多达上千万。
CrowdStrike 存在问题的软件更新在全世界引发了深远影响,它的安全软件被很多大型组织使用。而这些大型组织一旦罢工,会有无数人受到牵连影响。澳大利亚和新西兰可能是第一批受影响的,澳大利亚的媒体、机场、超市和银行都因此暂停服务,澳大利亚政府为此举行了紧急会议。与此同时,美国联邦航空管理局 (FAA)已经下令主要航空公司停飞直至另行通知为止,欧洲和亚洲使用 CrowdStrike 的机构都受到影响。CrowdStrike 已经承认它是罪魁祸首,正在与其客户合作解决问题。它的股价盘前交易暴跌五分之一。解决该问题的权宜之计是进入安全模式,删除有问题驱动 C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys,然后重启。
网友通过社交媒体报告了大规模 Windows 蓝屏死机(BSOD)事故,而所有受影响的机器都安装了 Crowdstrike Falcon。澳大利亚和新西兰可能是第一个遭遇该问题的地区,它导致了网站下线服务中断,受影响的机构包括澳大利亚国家广播公司 ABC、四大银行、Foxtel、Telstra 和 NBN 等等。Crowdstrike 是一家网络安全公司,为世界各地的客户提供端点安全、情报威胁和网络攻击的安全服务。它的 Falcon 平台帮助客户实时搜寻和收集数据。这次事故被认为是 Crowdstrike Falcon 最新更新导致的。如果遇到该问题,权宜之计是在安全模式下重命名文件夹 c:\windows\system32\drivers\crowstrike。
微软撤下了 6 月份的 Windows 11 非安全预览更新 KB5039302,用户报告该补丁会导致启动问题,需要恢复操作才能正常启动运行。微软不清楚问题根源,但推测与虚拟化有关,问题主要影响使用了虚拟化工具和嵌套虚拟化功能如 CloudPC、DevBox、Azure Virtual Desktop 的设备。受影响的操作系统版本是 Windows 11 22H2 和 23H2,微软表示与虚拟化有关意味着 Windows 家庭版用户不太可能受到影响。KB5039302 是在 6 月 26 日释出的,微软已将其从 Windows Update 和 Windows Update for Business 中撤下。
西北工业大学的研究人员在开源处理器架构 RISC-V 设计中发现了一个可远程利用的中危漏洞。它在 4 月 24 日报告给了国家计算机网络应急技术处理协调中心(CNCERT),5 月 24 日公开了更多细节。官方新闻稿称:
RISC-V 处理器设计被视为我国芯片自主设计一次弯道超车的机会,国内出现了大量 RISC-V 架构的处理器内核和芯片产品。截至 2022 年末,我国大约有 50 款不同型号的国产 RISC-V 芯片投入量产,在工业控制、电源管理、无线连接、存储控制、物联网等嵌入式场景被广泛应用,而且正在向自动驾驶、人工智能、通信和数据等领域快速拓展。此次 SonicBOOM 上发现中危安全风险必将引起国内处理器厂商和应用方高度关注。当前的熔断类、幽灵类处理器安全漏洞大多在触发瞬态执行后的信息恢复阶段采用 Cache 侧信道攻击泄露信息。此次发现的端口争用漏洞可以替代 Cache 侧信道攻击,作为一种新型侧信道攻击方式。端口争用漏洞可以结合不同的瞬态执行机制构成新型处理器安全漏洞。攻击者利用漏洞能够绕过现代处理器和操作系统设计的安全保护机制,无需管理员权限即可远程窃取受保护的敏感信息,造成关键数据和个人隐私泄露。这次在 RISC-V SonicBOOM 处理器上挖掘出寄存器端口争用漏洞在漏洞危害程度、评分值和可利用性上均超过国内漏洞数据库已收录的同类漏洞。
纽约证券交易所周一表示,正在调查导致巴菲特(Warren Buffett)旗下伯克希尔哈撒韦(Berkshire Hathaway)等公司股价大幅波动的“技术故障”。有约 50 只股票受到影响,其中伯克希尔哈撒韦的 A 股股价从每股逾 62 万美元暴跌 99%,随后交易暂停。纽交所表示将取消错误交易。问题被认为与限制波动性的代码有关,可能导致了溢出。
微软证实 Windows Server 四月更新可能会导致 Local Security Authority Subsystem Service (LSASS)进程崩溃,域控制器重启的问题。LSASS 服务被用于处理安全策略、用户登录、访问令牌创建和密码更改。受影响的 Windows 版本和有问题的安全更新包括 Windows Server 2022 (KB5036909)、Windows Server 2019 (KB5036896)、Windows Server 2016 (KB5036899)、Windows Server 2012 R2 (KB5036960)、Windows Server 2012 (KB5036969)、Windows Server 2008 R2 (KB5036967) 和 Windows Server 2008 (KB5036932)。微软的四月安全更新已知会导致 NTLM 身份认证失败和 VPN 连接问题。
和 X/Twitter 一样,去中心化微博服务 Mastodon 会对分享的链接生成预览。但与中心化的 X 不同的是,Mastodon 属于联邦宇宙平台,有数以百计的实例,生成的预览不限于一个实例,而是会有大量的实例几乎同时发出请求。这种联邦宇宙放大效应会大幅增加服务器负荷。对于大型网站而言,链接预览放大效应对其几乎不会构成影响。但小型网站就是另一回事了。Its FOSS 博客观察到,每次分享链接,网站会几乎停止响应或加载缓慢。安全工程师 Chris Partridge 在 2022 年报告,大约 3KB POST 导致其网站在不到 5 分钟内被请求了 114.7 MB 的数据,流量放大了 36704 倍。Mastodon 表示会在 4.4.0 版本中修复该问题,但 4.4.0 可能需要一年或更长时间才会发布。Mastodon 也许应该将其作为优先事项尽快修复。
Microsoft 确认 2024 年 4 月 Windows 例行安全更新会破坏客户端和服务器之间的 VPN 连接。软件巨人在声明中表示,在安装了 4 月安全更新或非安全预览更新后,Windows 设备可能会遭遇 VPN 连接失败。它正对此展开调查,会在未来公布更新。受影响的操作系统包括了 Windows 11、Windows 10 和 Windows Server 2008 及之后的版本。这个问题微软不是第一次发生:2022 年 1 月释出的安全更新会导致 VPN 连接失败;2023 年 5 月释出的安全更新 KB5026372 也影响到了 VPN。
101 岁的 Patricia 出生于 1922 年,但美航的航班订票系统认为她出生于 2022 年,因此机场工作人员以为他们将迎接一位婴儿而不是百岁老人。她希望问题能尽快解决,因为过去这给带来了一些麻烦,比如机场工作人员没有在航站楼内为她准备交通工具,以为婴儿可以随身携带。航空公司的计算机系统似乎无法处理她的出生日期,默认她出生在 100 年后。Patricia 在 97 岁前一直独自旅行,但之后视力出现了些问题,因此现在和家人一起出行。