文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
ken:feigaobox@gmail.com
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
Solidot 公告
投 票
热门评论
- 蜘蛛固点:雄性人类偏爱年幼雌性,即使代价是被警察叔叔带走。 (1 points, 一般) by Craynic 在 2018年04月24日10时35分 星期二 评论到 雄性布朗寡妇蜘蛛偏爱年长雌性,即使代价是被吃掉
- 70m? ! (1 points, 一般) by Storm 在 2018年04月24日08时42分 星期二 评论到 巴瑶族人为潜水演化出更大的脾脏
- 这种马后炮有意义吗 (1 points, 一般) by Craynic 在 2018年04月23日15时22分 星期一 评论到 从中兴事件谈为什么应该用开源软件
- 我们有那么多\"自主知识产权\" 怎么会因为美国破产 ? 扯淡! (1 points, 一般) by Storm 在 2018年04月23日13时58分 星期一 评论到 从中兴事件谈为什么应该用开源软件
- 那凭借几个视频就咬定阿萨德使用化武的国家算什么流氓国家? (1 points, 一般) by solidot1517900539 在 2018年04月20日20时11分 星期五 评论到 美国考虑启动经济紧急状态法对中国投资实施限制
- (1 points, 一般) by solidot1524193359 在 2018年04月20日11时03分 星期五 评论到 中兴寻求通过对话解决问题
- 二手笔记本,二手智能手机如何 (1 points, 一般) by Storm 在 2018年04月19日08时39分 星期四 评论到 每个孩子一台笔记本电脑项目如何走入歧途
- 最佳Linux开发者 (1 points, 一般) by Kimmy 在 2018年04月18日22时10分 星期三 评论到 微软为物联网服务构建自己的定制 Linux内核
- (1 points, 一般) by solidot1524047999 在 2018年04月18日18时40分 星期三 评论到 五万 Minecraft 用户感染了格式化应硬盘的恶意程序
- 35.192.0.0/1 (1 points, 一般) by solidot1524036175 在 2018年04月18日15时23分 星期三 评论到 俄罗斯为封锁 Telegram 屏蔽了 180 万亚马逊和 Google IP
solidot新版网站常见问题,请点击这里查看。
上个月发布的文件系统 ZFS on Linux 0.7.7 发现了数据损失 bug。当用户尝试拷贝一个包含大量文件(比如一万个文件)的文件夹时产生了文件系统已满没有空间的错误信息,而目标目录中的文件数量被发现少了数千个。一些人建议回滚到旧版本 0.7.6,但在 bug 报告仅仅三天之后,开发者就释出了修改该问题的 0.7.8 版,反应非常迅速。
过去几天,苹果的系统曝出了一个 bug,印度 Telugu 语的字符能让应用和系统崩溃。受影响的应用包括了苹果的 iMessage,第三方应用如 WhatsApp、Facebook Messenger、Gmail 和 Outlook,以及浏览器如 Safari 或 Chrome 。苹果用户还发现,如果 Telugu 语字符出现在通知中,那么整个系统将会崩溃。苹果在收到报告之后已经快速释出了更新,修改了导致崩溃的 bug。
官媒报道了一则与百度外卖系统相关的案件:2017 年 10 月,北京小度科技有限公司报案,称其旗下的 “百度外卖” 平台被他人以非法手段篡改系统,将提现金额改为负数,从而实现反向充值自己账户余额,并使用账户余额在 “百度外卖” 平台上进行消费,总共被篡改 4900 余万元,下单单数覆盖全国多个地区,人数达百余人,直接消费损失 30 余万元...海淀检方呼吁广大互联网企业要注意防范网络安全漏洞。
匿名读者 写道 "著名的《Mastering Bitcoin》(《精通比特币》)一书中有段Python代码有误(key-to-address-ecc-example.py),这段代码被广为流传。这个错误有极高的概率会根据一个正确的私钥生成一个错误的压缩公钥,从而产生一个错误的比特币收款地址,如果使用这个地址会导致比特币资金丢失。这段有BUG的代码从此书中的第一版中就已存在,最新的第二版本依旧存在这个BUG代码,当然,广为流传的中译版本中也自然存在。
下面是那段错误的代码及其修正:https://github.com/bitcoinbook/bitcoinbook/pull/483/files
BUG的产生是encode函数没有保留前导字符零所致,下面是BUG演示,可见丢失了一个前导零的公钥产生了一个错误的比特币地址:
这其实并不是encode函数的错,一个正常的未添加前缀字符("02"或"03")的压缩公钥长度应该是32字节(64个字符),encode函数会将10进制公钥转换成16进制字符串的形式,一旦当转换后的字符串长度不足64个字符的时候(极有可能出现的情况),encode函数并不会自动添加前导字符零以确保压缩公钥的长度为64个字符。zfill(64)的作用就是确保公钥为64个字符,不足的话进行补零。 以上演示数据可通过著名的比特币在线地址生成器进行查验:https://www.bitaddress.org
现已推送了一个合并请求(Pull Request)并提供了一段重现此BUG的代码,详细信息: https://github.com/bitcoinbook/bitcoinbook/pull/483"
英特尔处理器曝出了一个严重的硬件设计漏洞,迫使主要操作系统和云计算服务商都忙着打补丁。因为漏洞信息没有解密,所以目前只能通过已发布的补丁反推这个漏洞。该漏洞是奥地利格拉茨技术大学(TU Graz)的一组研究人员发现的,他们在去年十月发布了最早的 KAISER 补丁集。去年 12 月,在内核邮件列表上,应 Linus 等人的要求,KAISER 被改名,内核开发者提出了一系列技术上正确的首字母缩写,包括 User Address Space Separation(uass)和 Forcefully Unmap Complete Kernel With Interrupt Trampolines(fuckwit),最后出于政治上正确的理由改名为 Kernel Page Table Isolation(KPTI)。从表面上看,KPTI 补丁是为了确保 ASLR 仍然有效。ASLR 是现代操作系统的一项安全功能,通过引入虚拟地址随机化阻止攻击者定位目标程序数据的位置。而在去年底举行的 34C3 会议上,TU Graz 的研究人员描述了一种纯 Javascript 的 ASLR 攻击(YouTube),通过组合高精度测时和选择性驱逐 CPU 缓存行,一个运行在浏览器上的 Javascript 程序能还原一个 Javascript 对象的虚拟地址,然后再利用浏览器的内存管理 bug 进行攻击。从表面上看,KAISER(KPTI)补丁的作者们演示了一种技术能暴露 ASLR 化的地址。问题看起来也和虚拟内存也有关。每当一些机器代码尝试加载、储存或跳到一个内存地址,CPU 都必须首先通过其管理的页表将这个虚拟地址翻译到物理地址。虚拟内存可能是现代操作系统最重要的特性之一,它能防止一个死亡的进程崩溃操作系统,一个浏览器 bug 崩溃桌面环境,或者一个虚拟机能影响到同一主机上的其它虚拟机。TU Graz 的研究人员此前曾在一篇论文里描述了一种新的 Rowhammer 提权攻击。
深圳普联的中继器固件被发现每 5 秒会发送 6 次 DNS 查询和 1 次 NTP 查询。它的固件硬编码了六个 NTP 服务器,没有任何的 DNS 缓存,每 5 秒查询一次这 6 个 NTP 服务器,相比之下 Windows 机器每周才发送一次 DNS 和一次 NTP 查询。普联的做法违反了 NTP Pool 项目的规定。NTP Pool 项目要求设备制造商和供应商注册自己的 NTP 服务器池如 tplink.pool.ntp.org,不要使用默认的 pool.ntp.org,最多每五分钟检查一次。
多名 Bcache 用户在邮件列表和 Gentoo 的 Bugzilla 上报告,他们在更新到 Linux 4.14 后发生了文件系统损坏,数据全部丢失的严重事故。如果数据没有备份的话这无疑将会是灾难。Bcache 是块缓存(block cache)的缩写,允许将较快的储存设备如 SSD 作为较慢的存储设备如机械硬盘的读写缓存使用,它充当了一种本地加速器来改进性能。Bug 是在 74d46992e0d9 中引入的,稳定版内核维护者 Greg Kroah-Hartman 表示将会尽快释出更新。
在本周二的例行更新中,微软修复了公式编辑器的一个缓冲溢出漏洞 CVE-2017-11882。公式编辑器是 MS Office 中的一个古老组件,存在漏洞的公式编辑器可执行文件版本号是 2000.11.9.0,显示它可能是在 2000 年 11 月 9 日构建的,修改日期则是在 2003 年,它距今已有 17 年历史。本周释出补丁后它的文件版本号变更为 2017.8.14.0。看起来微软重新构建了公式编辑器。然而对补丁的详细分析发现,微软没有从源代码里修复漏洞,而是手动给二进制可执行文件打了补丁。微软此举可能是为了维持二进制兼容性,防止嵌入旧版本公式编辑器的文档出现问题。当然还有一种可能性是微软丢失了公式编辑器的源代码。
绝大多数软件的 bug 不会杀死你,但自主驾驶汽车的 AI 可能是一个例外,错误可能会导致 AI 在错误的时间做出错误的决定。哥伦比亚大学和 Lehigh 大学的研究人员设计的 DeepXplore 方法能在不同神经网络触发尽可能多的冲突决策,系统性的暴露软件错误。比如 DeepXplore 在 Nvidia 的 DAVE-2 自主驾驶软件发现了一个错误,能导致汽车撞上公路上的护栏。研究人员深知,只要恶意的黑客能利用一个 bug,整个系统就仍然是脆弱的。研究人员的测试发现,DeepXplore 在各种深度学习应用中发现了数以千计的以前未知的 Bug。它并不能保证能发现系统的所有 bug。
亚利桑那州彩票官员正在调查产生中奖号码的随机数生成器。在“All or Nothing”抽奖中,随机数生成器在 9 月 28 日和 30 日产生了相同的中奖号码“2-4-5-6-8-10-12-14-17-19”,9 月 29 日和 10 月 3 日又产生了相同号码“4-8-9-10-11-13-14-16-18-19”。在另一个抽奖“Pick 3”中,随机数生成器在 9 月 29 日和 10 月 3 日产生相同号码。同样的情况还发生在“5 Card Cash”抽奖中。发生故障的机器已经移除以等待调查结果。亚利桑那州使用了三个随机数生成器,都没有联网。
深圳万普拉斯科技有限公司上个月发布了被誉为“500 美元以内的最佳手机” OnePlus 5(或一加五)。但新手机的用户很快反应这款手机存在一系列问题, 其中一个严重问题是手机在拨打 911 后重启。Reddit 用户 Nick Morrelli 称他在西雅图看到一座建筑物起火拨打 911 报警后发生了重启故障,另一些用户报告他们无法在手机上拨打 911 或 999(英国的紧急服务号码)。这一故障看起来并没有影响所有一加五手机用户,但即便只影响少数人它也是一个严重的问题。一加表示正在联系受影响客户调查这个问题。
本周一,在 Google Finance、Yahoo Finance 和 Bloomberg 等流行金融网站上,苹果和亚马逊等公司的股票出现暴跌,但实际上这些企业的真实股价波动并不大。这件事看起来像是金融网站的数据源出现了 bug。许多受影响公司的股价显示为 123.47 美元,看起来像是源自 123.456。在 Google Finance 上,亚马逊的股价暴跌 87% 至 $123.47,在 Yahoo Finance 上,亚马逊的股票暴跌 74% 至 $248.49,事实上亚马逊的股价为 $953.66,下跌了 1.5%。在 Google 和 Yahoo Finance 上,苹果的股票下跌 14.3% 至 $123.47,但实际上苹果的股票 $143.50。纳斯达克发言人将此事归咎于第三方数据供应商。
上周末,Debian 开发者在邮件列表上向用户发出警告,英特尔第六代和第七代 Core 处理器(Skylake/Kaby Lake)在启用超线程时发现存在一个处理器 / 微码缺陷。但该 bug 的影响究竟有多大?Ahrefs 的 Joris Giovannangeli 在博客上描述了他们遭遇该 bug 的经过。
2016 年底,该公司后端开发者团队部分成员开始使用新的笔记本电脑,工程师 Enguerrand Decorne 几天后在机器上编译 OCaml 时遭遇了不同寻常的崩溃。这个问题一开始只影响 Enguerrand 的机器,所以他们认为可能是这台机器的系统配置问题。但随后他们对该问题的担忧加重了,使用 Skylake Xeon 处理器的服务器集群在部署一个服务后,被发现向储存系统插入了破坏的数据。开发者开始收集更多的信息,并且在其它机器上复现了同样的问题。他们开始诊断问题的根源。他们猜测问题与虚拟机软件 VMware 有关,于是切换到 Virtualbox,但崩溃继续发生。在物理机器上遭遇同样问题上,他们排除了虚拟机软件 bug 的可能性。经过漫长的搜寻之后,在注意到所有发生崩溃的机器都使用 Skylake 家族处理器之后,在发现 Debian 上的 Skylake 微码更新通知后,他们最终确认它是一个处理器 bug。
微软承认它不小心向 Windows 10 用户推送了有问题的设备驱动。3 月 8 日,微软通过 Windows Update 推送了名为 Microsoft -- WPD -- 2/22/2016 12:00:00 AM -- 5.2.5326.4762 的神秘驱动,该驱动没有提供任何细节,但从名称上看应该与 Windows Portable Devices 相关。该驱动影响了在电脑上连接手机或其它便捷式设备的用户。在驱动安装之后,Windows 10 会无法正确识别连接的设备。微软称,它已经从 Windows Update 中移除了该驱动,但已经安装了该驱动的用户可能仍然会遭遇问题。