Linuxcat周刊(第14期) 0.0.0.0 Day漏洞曝光,谷歌、Safari、火狐等主流浏览器面临威胁
乐子
1 俄罗斯杜马议员 Aleksei Didenko 警告 Google、Android 和 iOS 将很快被屏蔽
俄罗斯国家杜马议员 Aleksei Didenko 表示,谷歌可能很快就会在俄罗斯被屏蔽,还包括谷歌 Android 操作系统以及用于苹果设备的 iOS 操作系统。他在 8 月1 日 YouTube 服务遭遇服务中断后表示,用户不应依赖西方服务。他强调,这不是因为俄罗斯的过错而发生。
Didenko 表示,“我们建议企业代表和科学家转向其他平台”,公务员和官员,特别是那些有权接触国家机密的人,长期以来一直被禁止使用这些平台。他指出这不应被公众视为一个悲剧,并以 Netflix 在俄罗斯被屏蔽为例,“当然有一些人表达了不满,但随着时间推移,大家都会冷静下来”。
消息来源: 莫斯科共青团员报
评论: 学习邻居,超越邻居,虽然环境不同,要不叫你俄超越?
2 谷歌 Chrome 警告 uBlock Origin 可能很快会被禁用
谷歌 Chrome 浏览器鼓励已更新到最新版本的 uBlock Origin 用户在禁用 Manifest v2 扩展之前切换到其他广告拦截器。
正如 uBlock Origin 首席开发人员和维护人员 Raymond Hill 周五所解释的那样,这是由于谷歌不再支持 Manifest v2 (MV2) 扩展平台而转而支持 Manifest v3 (MV3) 所致。
谷歌 Chrome 用户也被警告删除或用类似的扩展程序替换 uBlock Origin 广告拦截器。
消息来源: BleepingComputer
3 马斯克:已为第二位人类患者成功植入脑机芯片
马斯克周五透露,其脑机接口公司Neuralink成功将第二颗脑机接口芯片植入一名人类患者体内。马斯克说:“我不想太早下结论,但第二颗植入物似乎进展得非常顺利。信号很强,电极也很多,工作得非常好”。¹
此外,马斯克在X上表示,特斯拉得州超级工厂的超级计算集群被命名为“Cortex”,并指出其刚刚完成了新设施的演练。“Cortex”拥有约10万颗英伟达H100和H200芯片,用于训练完全自动驾驶(FSD)和人形机器人Optimus。²
4 Microsoft Dynamics 365 正向科技行业发起利用AI监控员工的倡议
根据奥地利非营利研究组织 Cracked Labs 的一项调查报告显示,以Microsoft Dynamics 365为首的服务软件允许管理人员通过智能手机APP监控技术人员和远程工作者的工作活动、时间、地点,并收集许多其他工作隐私数据。
除微软外,包括甲骨文、SAP、Salesforce、IFS(瑞典)、Nomadia(法国)、OverIT(意大利)、Praxedo(法国)、ServiceMax(美国)和 ServiceNow(美国)等公司也在列。这些监控大大削弱了员工自身的工作自主权工作目标感,同时也加大了工作压力。但在微软官方看来,这类软件却能有效促使员工更积极高效地完成工作与达成绩效。
消息来源: The Register|PDF完整调查报告
5 OPENAI 确认正在研究 ChatGPT 文本水印
人工智能公司 OpenAI 的团队已经开发出一种文本水印方法,并会在研究替代方案时继续考虑这种方法。虽然它在抵御例如释义等局部篡改方面具有很高的准确性,甚至很有效,但对全局篡改的防御能力较弱;例如使用翻译系统,用另一个生成模型改写,或者要求模型在每个单词之间插入一个特殊字符,然后删除该字符,这使得不良行为者可以轻松规避。以及可能对非英语人士等群体造成不成比例的影响。该公司正在讨论是否真正发布该工具。OpenAI 去年关闭了其之前的 AI 文本检测器,理由是“准确率低”。
更:OpenAI 不会给 ChatGPT 文本添加水印,因为其用户可能会暴露
消息来源: Techcrunch
6 免费试用服务遭滥用,安全公司曝光 Cloudflare 隧道成黑客“保护伞”
安全公司 Proofpoint 报告指出,黑客大量滥用 Cloudflare 的免费试用隧道服务进行恶意活动。据介绍,隧道技术类似于 SSH,允许用户远程访问本地网络数据资源。
黑客通过批量注册账号使用一次性隧道服务,利用每次生成的不同子网域名掩盖真实服务器位置,自 2023 年以来,这种行为变得普遍。黑客通过隧道发送恶意木马和钓鱼邮件,并使用 Python 脚本结合其他技术进行网络攻击,Cloudflare 的隧道服务反而成了他们的“保护伞”。
消息来源: IT之家
7 消息称谷歌 Play 商店突然停止提供完整 APK 包,影响安卓应用侧载安装
根据 APK 提供网站 APKMirrors 的最新消息,谷歌 Play 商店已突然停止提供完整安卓应用 APK 包,将影响一些应用的侧载安装。
谷歌自 2021 年 8 月起推行新的 Android App Bundle(AAB)格式,取代 APK 作为标准发布格式。AAB 格式通过减少包大小和加快下载速度来优化用户体验,但无法像 APK 一样直接安装,需要通过 Google Play 或第三方工具进行部署。根据 APKMirrors 的反馈,许多应用已经不再提供完整的安装包,这一变化可能是永久性的。
消息来源: IT之家
8 .com 域名将在今年9月1日涨价
.com 的价格为何上涨? .com 和 .net 注册机构 Verisign 已与 ICANN 达成协议,可以自 2012 年以来首次提高价格。
作为最大的上市注册机构,Verisign 此前多年以来一直受到价格上涨限制,但目前这一限制已经不再存在。
ICANN 和 Verisign 达成了一项新协议,允许 Verisign 在 2021 年、2022 年、2023 年和 2024 年每年将 .com 域名的价格提高 7%。
在2025年和2026年两年的“冻结”之后,Verisign可以在2027年至2030年期间每年再次将价格提高7%,随后进入另一个两年的“冻结”。
这个周期将无限期地持续下去,这意味着在 10 年内, .com 域名的价格可能会比现在高出约 70%。
消息来源: 新闻在花频道📮投稿爆料
9 被曝可绕过锁屏高危漏洞?搜狗:仅在特定Windows系统 已紧急修复
有市民近日收到了工作单位的通知,指出搜狗输入法存在一个能够轻易绕过电脑锁屏夺取系统权限的高危漏洞,攻击者可以通过部分版本搜狗输入法绕过系统登录密码,在锁屏的情况下执行CMD命令,获取本机系统权限。因此要求卸载该输入法。
对此,搜狗输入法昨日回应称,经安全团队排查,该问题仅存在于特定版本Windows系统,是由于微软屏幕键盘等相关程序主动以特权接口加载中文输入法导致,“我们已将此系统漏洞通知微软相关团队。”“在微软修复该漏洞前,为更有效保护用户安全,我们已采取了主动规避措施,在Windows登录界面下搜狗输入法将主动退出加载执行。”搜狗输入法补充道,该问题已被紧急修复。
消息来源: 财联社
10 日本弹幕网站 Niconico 现已恢复网站服务
8月5日,角川子公司 Dwango 的弹幕视频网站“NicoNico 动画”大约两个月来首次重新恢复服务。并确认因包括勒索软件在内的网络攻击,导致254,241人的个人信息被泄露。
确认泄露的信息包括两所高中的在校生、校友和家长,以及 Dwango 及其关联公司的部分商业伙伴。泄露包括姓名、地址、电子邮件地址、帐户信息等。所有 Dwango 员工的个人信息也被泄露。根据一家大型安全专业公司的调查,“推测 Dwango 员工的帐户信息通过网络钓鱼或其他攻击被盗。” 据称,该公司的网络是利用该账户信息进行渗透的。
消息来源: 日经新闻
11 国务卿敦促 X 阻止其 Grok 聊天机器人传播选举错误信息
Grok 一直在社交网络 X 上传播有关副总统卡马拉·哈里斯的虚假信息。这是根据五位国务卿撰写的一封致特斯拉、SpaceX 和 X 首席执行官马斯克的公开信所述,信中声称 X 的人工智能聊天机器人错误地暗示哈里斯没有资格出现在某些2024年美国总统选票上。信函中敦促马斯克“立即对 X 的人工智能搜索助手 Grok 进行更改,以确保选民在这个关键的选举年获得准确的信息。7月21日,在拜登宣布暂停总统竞选的几个小时后,Grok 开始回答有关哈里斯参选资格的问题,并误导性地声称部分州的投票截止日期已经过去。该错误信息传播范围广泛,在7月31日得到更正之前,已影响到 X 及其他平台的数百万用户。
消息来源: Techcrunch
12 阿里团队推出视频 AI 生成框架 Tora:画圈操控物体运动轨迹
Tora 无缝契合 DiT 设计,支持制作最长 204 帧、720P 分辨率的视频,可以精确控制不同持续时间、宽高比和分辨率的视频内容。大量实验证明,Tora 在实现高运动保真度方面表现出色,同时还能细致模拟物理世界的运动。
13 OpenAI 宣布今年的DevDay不会公布 GPT-5
今年的 OpenAI DevDay 活动将于 10 月 1 日在旧金山、10 月 30 日在伦敦和 11 月 1 日在新加坡举行。所有活动都将以研讨会、分组讨论、OpenAI 产品与工程团队的现场演示,以及开发者会议的形式举行。注册费用为 450 美元,报名截止日期为 8 月 15 日。
公司还确认,在 DevDay 期间不会发布下一代主旗舰模型,而是将重点放在其 API 和开发者服务的更新上。
消息来源: 原文
14 光盘时代落幕:苹果SuperDrive似乎已停产
外置光驱SuperDrive在苹果美国官网、国行官网上显示为售罄状态。
目前在英国和巴西等部分地区仍有SuperDrive库存,但售完后再生产的可能性微乎其微。
消息来源: ITbear
15 谷歌尝试在Chrome中实施网站货币化 当你浏览网站时自动支付小费
谷歌正在构建一项尚未成为 W3C 认可的标准,这项标准用来在网络中实现货币化,也就是允许用户通过小费或者内容奖励用来鼓励内容创作者继续创作优质的内容。
值得注意的是,该技术提供了两个独特功能:小额支付和无需用户交互,当用户设置该网站自动打赏,它才会自动收费。
消息来源: 意向链接
16 HarmonyOS Next第三方App QQ音乐更新
HarmonyOS Next第三方App QQ音乐更新,新增开屏广告和QQ登录(但QQ还未上架)
消息来源: 新闻在花频道📮投稿爆料
评论:不升级 NEXT 的理由又多了一个,换小米的理由也多了一个
17 1Password发现高危安全漏洞,Mac用户需立即升级到最新版本
知名密码管理器1Password的Mac版本被发现存在一个高危安全漏洞,该漏洞允许恶意软件绕过进程间的通信保护,窃取用户的解锁密钥。
这一安全问题由参与DEFCON黑客大赛的安全研究人员发现,并计划在一次演讲中公开。1Password已经收到通知并及时修复了这一漏洞,敦促用户升级到8.10.38或之后的版本以确保安全。
该漏洞被标识为CVE-2024-42219,目前没有证据表明它已被恶意黑客利用,更多关于该漏洞的细节将在DEFCON大会上演讲后公布。
消息来源: 蓝点网
18 ICANN已将“.internal”域名保留供私有网络使用
互联网名称与数字地址分配机构(ICANN)已批准使用“.internal”顶级域名,用于私有内部网络。这一域名将不会在公共互联网上访问,类似于私人IP地址块(如10.0.0.0)。此举旨在避免与公共域名的冲突和混淆。Google等组织已经在内部用途中使用了“.internal”域名。
消息来源: Theregister
19 俄罗斯全面封禁YouTube,网页版和客户端均无法访问
俄罗斯已经彻底封禁了谷歌旗下的视频网站YouTube,用户现在无法通过网页版或手机客户端访问该平台,均显示连接超时。
此前YouTube在俄罗斯访问速度慢、视频播放经常卡顿或无法加载,俄罗斯杜马议员将问题归咎于谷歌未在俄罗斯投资维护IT基础设施。谷歌则否认是YouTube技术限制所致,但没有详细说明原因。
此外,有传言称俄罗斯可能会进一步封禁谷歌搜索和操作系统,而一些议员认为限制YouTube访问是对谷歌撤出俄罗斯且不遵守当地法律的反制措施。
消息来源: 蓝点网
评论: 还得是是毛子,说了就做
20 Qwen2-Math 开源 AI 模型发布:阿里通义千问家族新成员,数学能力超 GPT-4o
阿里通义千问 Qwen2 开源家族迎来新成员 Qwen2-Math,共有 15 亿参数、70 亿参数和 720 亿参数三个版本,是基于 Qwen2 LLM 构建、专门用于数学解题的语言模型。
其中,最大的数学专用模型 Qwen2-Math-72B-Instruct 超越了最先进的模型,包括 GPT-4o、Claude-3.5-Sonnet、Gemini-1.5-Pro 和 Llama-3.1-405B。
新模型系列 Qwen2-Math 专注于数学能力,目前仅支持英文。
GitHub仓库
21 0.0.0.0 Day漏洞曝光,谷歌、Safari、火狐等主流浏览器面临威胁
近日,一个名为 “0.0.0.0 Day “的重大安全漏洞在网络安全社区中引发了巨大反响,该漏洞导致数百万使用 Chrome、Firefox 和 Safari 等流行浏览器的用户受到潜在攻击。同时,该漏洞还允许恶意行为者访问私人网络(特别是 “本地主机”)中设备上存储的文件、信息、凭证和其他敏感数据。
消息来源: freebuf
工具/软件推荐
1 将你的 Telegram Channel 转为微博客
支持和特点:RSS、搜索、SEO、不需要服务器。
Github
2 输入X(Twitter)账号,看看AI怎么吐槽你
twitter.wordware.ai
Roast 就是吐槽的内容。没收费。