Apple 教育优惠叠加国补攻略
目前浙江省和西安市的线下国补因其校园代理商申报了国补名单,可以使用 Apple 教育优惠(校园代理商可用)与线下国补,浙江省和西安市两者叠加后价格 2997 元即可购买 MacMini M4 版本。
目前其他地区校园代理商也开始申报各地区的线下国补名单,预计部分省市的校园代理商可以在数个星期后参与线下国补。
官方代理商名单(理论上此列表的商家才能教育优惠):苹果校园体验中心
建议大家和他们保持联络,在所在地区参与完毕国补申报以后迅速抢购,浙江全省目前已经库存不足,西安市根据网友分享还有少量现货。
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
目前浙江省和西安市的线下国补因其校园代理商申报了国补名单,可以使用 Apple 教育优惠(校园代理商可用)与线下国补,浙江省和西安市两者叠加后价格 2997 元即可购买 MacMini M4 版本。
目前其他地区校园代理商也开始申报各地区的线下国补名单,预计部分省市的校园代理商可以在数个星期后参与线下国补。
官方代理商名单(理论上此列表的商家才能教育优惠):苹果校园体验中心
建议大家和他们保持联络,在所在地区参与完毕国补申报以后迅速抢购,浙江全省目前已经库存不足,西安市根据网友分享还有少量现货。
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
😱282👍31❤11🔥7👏5🥴2😁1
中国防火长城(GFW)DNS 注入系统中存在严重的内存泄露漏洞
中国防火长城(GFW)的DNS注入系统部署在网络边界的中间设备上,该系统监控并干扰DNS查询,通过发送伪造的DNS响应来阻断对特定网站的访问。这些伪造的响应速度较快,从而使客户端优先处理它们。GFW的DNS注入既处理来自中国境内的查询,也处理进入中国的查询。例如,如果境外的主机向一个位于中国大陆的IP地址发送DNS请求,只要请求中包含了被封锁的域名,GFW就会在流量进入中国时插入伪造的响应。
Wallbleed是GFW DNS注入模块中的一个严重漏洞,类似于Heartbleed。该漏洞源于DNS报文解析代码的缺陷,尤其是在处理DNS查询的域名(QNAME)时,未能正确检查域名标签的长度是否超出了报文的实际长度。当发送畸形的DNS查询,其域名标签的长度字节被故意设置得过大时,就会触发这个漏洞。这导致GFW的注入器错误地读取了报文末尾之外的内存内容,并将这些本不应包含的数据写入到伪造的DNS响应中,最终泄露给查询者。
泄露的数据不仅限于DNS信息,还包括IPv4和TCP头信息,违反了其仅应处理特定UDP端口53上DNS查询的预期功能。这种内存泄露可能涉及私有IP到公共服务器的内部流量。
GFW在2023年9月至11月间测试并部署了补丁,增加了对DNS报文的字段完整性校验,不再接受缺失QTYPE/QCLASS的查询,并且增加了对异常长度的检测策略。以前只要域名匹配黑名单就立即伪造回复,而现在还要检查报文格式是否正常,否则宁可不回应。这种调整出于安全考虑,某种程度上削弱了DNS注入的覆盖面,某些非常规查询即使包含被封锁域名也不再触发,从而可能让查询穿透注入系统获得真实答案。
总结:当DNS查询通过中国网络传输至顶级域(TLD)服务器时,GFW可能会在这些查询中注入伪造的DNS响应。这意味着即使请求来自中国以外,只要数据流经中国,就可能被GFW所干扰。此外,GFW向中国的根DNS服务器查询注入了伪造的响应。泄露的数据不仅包括大量隐私数据,还有栈帧和可执行代码片段,由于互联网路由的复杂性,部分境外通信也可能途经中国,从而受到GFW的影响。即使是两个海外主机的通信,如果其数据路径经过中国,Wallbleed漏洞也可能泄露数据。
来自本篇编辑的话: GFW是一个非常复杂的封锁系统,通过边界网关已经植入中国大陆网络的方方面面,限制本片篇幅有限有兴趣的可以阅读原文。但是也有不同的地方,比如 新疆、河南、福建、江苏4个省份审查尤其严格, 新疆的反向墙(屏蔽中国大陆的IP)、 福建的白名单(主要针对海外IP)、 河南的阻断(端口阻断攻击) 、江苏的反诈(独有的江苏反诈系统), 这些统称为地方墙 , 以及最后的全国大墙, 即封锁整个IP和 封锁整个域名, 一般是将整个域名DNS响应到墙的黑名单的IP(黑名单IP就是 例如twitter.com、fb.com, 这些直接封锁整个AS的IP还有一些不断被封锁的IP地址)
GFW |GFW
Via 𝒍𝒊𝒍𝒚
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
中国防火长城(GFW)的DNS注入系统部署在网络边界的中间设备上,该系统监控并干扰DNS查询,通过发送伪造的DNS响应来阻断对特定网站的访问。这些伪造的响应速度较快,从而使客户端优先处理它们。GFW的DNS注入既处理来自中国境内的查询,也处理进入中国的查询。例如,如果境外的主机向一个位于中国大陆的IP地址发送DNS请求,只要请求中包含了被封锁的域名,GFW就会在流量进入中国时插入伪造的响应。
Wallbleed是GFW DNS注入模块中的一个严重漏洞,类似于Heartbleed。该漏洞源于DNS报文解析代码的缺陷,尤其是在处理DNS查询的域名(QNAME)时,未能正确检查域名标签的长度是否超出了报文的实际长度。当发送畸形的DNS查询,其域名标签的长度字节被故意设置得过大时,就会触发这个漏洞。这导致GFW的注入器错误地读取了报文末尾之外的内存内容,并将这些本不应包含的数据写入到伪造的DNS响应中,最终泄露给查询者。
泄露的数据不仅限于DNS信息,还包括IPv4和TCP头信息,违反了其仅应处理特定UDP端口53上DNS查询的预期功能。这种内存泄露可能涉及私有IP到公共服务器的内部流量。
GFW在2023年9月至11月间测试并部署了补丁,增加了对DNS报文的字段完整性校验,不再接受缺失QTYPE/QCLASS的查询,并且增加了对异常长度的检测策略。以前只要域名匹配黑名单就立即伪造回复,而现在还要检查报文格式是否正常,否则宁可不回应。这种调整出于安全考虑,某种程度上削弱了DNS注入的覆盖面,某些非常规查询即使包含被封锁域名也不再触发,从而可能让查询穿透注入系统获得真实答案。
总结:当DNS查询通过中国网络传输至顶级域(TLD)服务器时,GFW可能会在这些查询中注入伪造的DNS响应。这意味着即使请求来自中国以外,只要数据流经中国,就可能被GFW所干扰。此外,GFW向中国的根DNS服务器查询注入了伪造的响应。泄露的数据不仅包括大量隐私数据,还有栈帧和可执行代码片段,由于互联网路由的复杂性,部分境外通信也可能途经中国,从而受到GFW的影响。即使是两个海外主机的通信,如果其数据路径经过中国,Wallbleed漏洞也可能泄露数据。
来自本篇编辑的话: GFW是一个非常复杂的封锁系统,通过边界网关已经植入中国大陆网络的方方面面,限制本片篇幅有限有兴趣的可以阅读原文。但是也有不同的地方,比如 新疆、河南、福建、江苏4个省份审查尤其严格, 新疆的反向墙(屏蔽中国大陆的IP)、 福建的白名单(主要针对海外IP)、 河南的阻断(端口阻断攻击) 、江苏的反诈(独有的江苏反诈系统), 这些统称为地方墙 , 以及最后的全国大墙, 即封锁整个IP和 封锁整个域名, 一般是将整个域名DNS响应到墙的黑名单的IP(黑名单IP就是 例如twitter.com、fb.com, 这些直接封锁整个AS的IP还有一些不断被封锁的IP地址)
GFW |GFW
Via 𝒍𝒊𝒍𝒚
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
🫡401🤣140👍27🔥14🤔14😁7🤯4🌭3
微软发现XCSSET macOS 恶意软件新变种
新变种软件针对用户的敏感数据,通过受感染的 Xcode 项目传播。可窃取浏览器历史、密码、Telegram数据及加密货币钱包(Exodus/Electrum)私钥等等。攻击者通过双重加密混淆代码逃避检测,会从攻击者的命令与控制的 服务器下载已签名的 dockutil 工具,然后创建一个假的 Launchpad 应用程序,该应用程序会替换 dock 中合法的 Launchpad 路径条目。微软建议开发人员彻底检查 Xcode 项目并避免从非官方来源下载代码。
Vpnmentor|X
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
新变种软件针对用户的敏感数据,通过受感染的 Xcode 项目传播。可窃取浏览器历史、密码、Telegram数据及加密货币钱包(Exodus/Electrum)私钥等等。攻击者通过双重加密混淆代码逃避检测,会从攻击者的命令与控制的 服务器下载已签名的 dockutil 工具,然后创建一个假的 Launchpad 应用程序,该应用程序会替换 dock 中合法的 Launchpad 路径条目。微软建议开发人员彻底检查 Xcode 项目并避免从非官方来源下载代码。
Vpnmentor|X
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
🤯99👍13🔥13❤10😁7😱2😈2🕊1
韩国游戏公司Dynamis One涉嫌非法转移Nexon Games未公开开发资料遭立案调查
韩国游戏公司Dynamis One由前Nexon Games《碧蓝档案》核心开发团队(包括制作人朴炳林、剧本导演、美术总监等)于2023年4月创立。该公司同年9月公开首款游戏《Project KV》,但因画风、设定等与《碧蓝档案》高度相似引发抄袭争议,最终在舆论压力下宣布终止开发。首尔警察厅产业技术安保调查队于2024年5月24日对Dynamis One办公楼进行扣押搜查,指控其核心人员在离职Nexon Games时擅自带走未公开新作的开发素材(资产),涉嫌违反《防止不正当竞争法》。日前,警方正在重点调查泄露数据是否被用于实际游戏开发。
NaverNews
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
韩国游戏公司Dynamis One由前Nexon Games《碧蓝档案》核心开发团队(包括制作人朴炳林、剧本导演、美术总监等)于2023年4月创立。该公司同年9月公开首款游戏《Project KV》,但因画风、设定等与《碧蓝档案》高度相似引发抄袭争议,最终在舆论压力下宣布终止开发。首尔警察厅产业技术安保调查队于2024年5月24日对Dynamis One办公楼进行扣押搜查,指控其核心人员在离职Nexon Games时擅自带走未公开新作的开发素材(资产),涉嫌违反《防止不正当竞争法》。日前,警方正在重点调查泄露数据是否被用于实际游戏开发。
NaverNews
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
😁105👎58❤16👍16👏3🤔2😱2🫡2
GitHub私有仓库数据仍可通过Copilot访问
以色列网络安全公司Lasso发现,即使GitHub仓库已设为私有,其历史数据仍可能通过Microsoft Copilot被访问。
研究显示,超过2万个已转为私有的GitHub仓库数据仍可通过Copilot获取,影响超过1.6万家机构。受影响企业包括微软、亚马逊AWS、谷歌、IBM等科技巨头。这些可被访问的数据包含知识产权、敏感企业信息、访问密钥等机密内容。问题源于Bing搜索引擎对公开仓库的索引和缓存机制。
尽管微软在2024年12月停用了Bing缓存链接功能,但Lasso表示这只是临时解决方案,Copilot仍能访问这些不应公开的数据。微软将此问题归类为"低严重性",称这种缓存行为"可接受"。
TechCrunch
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
以色列网络安全公司Lasso发现,即使GitHub仓库已设为私有,其历史数据仍可能通过Microsoft Copilot被访问。
研究显示,超过2万个已转为私有的GitHub仓库数据仍可通过Copilot获取,影响超过1.6万家机构。受影响企业包括微软、亚马逊AWS、谷歌、IBM等科技巨头。这些可被访问的数据包含知识产权、敏感企业信息、访问密钥等机密内容。问题源于Bing搜索引擎对公开仓库的索引和缓存机制。
尽管微软在2024年12月停用了Bing缓存链接功能,但Lasso表示这只是临时解决方案,Copilot仍能访问这些不应公开的数据。微软将此问题归类为"低严重性",称这种缓存行为"可接受"。
TechCrunch
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
😱240😁61👎17❤11👍11🔥5🤬4🌭3
Grok推出"无节制"语音模式,支持咒骂和角色扮演
xAI为Grok 3 AI模型推出新的语音交互功能,支持多种"无节制"人格设定,包括咒骂、叫喊和成人内容模拟。
该功能目前向高级用户开放,提供9种不同人格模式:包括会咒骂的"无节制"模式、讲故事模式、浪漫模式、冥想模式、阴谋论模式、治疗师模式、医生模式、成人模式和教授模式。与OpenAI等竞争对手的严格审查策略不同,xAI采取完全开放的路线,允许AI模型在某些模式下使用粗俗语言,讨论敏感话题。不过测试发现,Grok的语音交互仍存在重复和套路化的问题,流畅度不及ChatGPT的语音模式。
Ars Technica
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
xAI为Grok 3 AI模型推出新的语音交互功能,支持多种"无节制"人格设定,包括咒骂、叫喊和成人内容模拟。
该功能目前向高级用户开放,提供9种不同人格模式:包括会咒骂的"无节制"模式、讲故事模式、浪漫模式、冥想模式、阴谋论模式、治疗师模式、医生模式、成人模式和教授模式。与OpenAI等竞争对手的严格审查策略不同,xAI采取完全开放的路线,允许AI模型在某些模式下使用粗俗语言,讨论敏感话题。不过测试发现,Grok的语音交互仍存在重复和套路化的问题,流畅度不及ChatGPT的语音模式。
Ars Technica
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
👍366😁99😍34❤20🌚11👎7🤔4🆒3
每日一橙或降低20%抑郁症风险,肠道菌群成关键因素
哈佛大学医学院与麻省总医院的研究团队在《Microbiome》期刊发表研究称,每日摄入一个中等大小的橙子可能与20%的抑郁症风险下降相关。该结论基于对护士健康研究II(NHS2)中10万名女性长达30年的数据分析,发现橙子中的成分可能通过刺激肠道菌群普氏粪杆菌(F. prausnitzii)的生长,促进血清素和多巴胺的合成,从而影响情绪调节。
研究显示,橙子的抗抑郁效果具有特异性——摄入苹果、香蕉等其他水果或蔬菜未见类似关联。通过分析参与者粪便样本,团队发现未患抑郁症的女性体内普氏粪杆菌丰度更高,且橙子摄入量与其水平正相关。该菌可能通过S-腺苷甲硫氨酸循环I通路调控肠道细胞产生的神经递质,进而影响大脑情绪。在男性群体的初步验证中也观察到相似趋势。
研究负责人拉吉·梅塔指出,橙子的潜在作用机制与传统抗抑郁药物不同,未来或可作为预防性策略补充现有疗法。但当前结论仍需临床试验进一步验证,尤其是针对男性及不同人群的研究。此外,橙子无显著副作用的特点使其成为心理健康干预的潜在低成本方案。
The Harvard Gazette
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
哈佛大学医学院与麻省总医院的研究团队在《Microbiome》期刊发表研究称,每日摄入一个中等大小的橙子可能与20%的抑郁症风险下降相关。该结论基于对护士健康研究II(NHS2)中10万名女性长达30年的数据分析,发现橙子中的成分可能通过刺激肠道菌群普氏粪杆菌(F. prausnitzii)的生长,促进血清素和多巴胺的合成,从而影响情绪调节。
研究显示,橙子的抗抑郁效果具有特异性——摄入苹果、香蕉等其他水果或蔬菜未见类似关联。通过分析参与者粪便样本,团队发现未患抑郁症的女性体内普氏粪杆菌丰度更高,且橙子摄入量与其水平正相关。该菌可能通过S-腺苷甲硫氨酸循环I通路调控肠道细胞产生的神经递质,进而影响大脑情绪。在男性群体的初步验证中也观察到相似趋势。
研究负责人拉吉·梅塔指出,橙子的潜在作用机制与传统抗抑郁药物不同,未来或可作为预防性策略补充现有疗法。但当前结论仍需临床试验进一步验证,尤其是针对男性及不同人群的研究。此外,橙子无显著副作用的特点使其成为心理健康干预的潜在低成本方案。
The Harvard Gazette
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
👍240🤔42🥰14❤10👾8👏4🤝3👌2
VS Code 知名 Material Theme 主题插件被爆存在恶意代码
Material Theme 主题插件具有巨大的装机量,但是在近期 VS Code 社区成员分析该插件存在恶意代码,其后微软安全专家确定其为恶意插件并找到了其他后门。
目前 VS Code 已经在市场删除该插件并且要求全部插件用户立即卸载该插件以保护安全,该插件开发者已被封禁。目前尚未收到可能的收集数据和恶意入侵后果报告。
我们提醒该插件很多用户都在使用,请务必确认已经卸载该插件并且建议利用安全软件扫描全盘以降低可能的潜在风险。
Hacker News 讨论 |互联网档案馆存档 |GitHub 插件市场 Issue
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
Material Theme 主题插件具有巨大的装机量,但是在近期 VS Code 社区成员分析该插件存在恶意代码,其后微软安全专家确定其为恶意插件并找到了其他后门。
目前 VS Code 已经在市场删除该插件并且要求全部插件用户立即卸载该插件以保护安全,该插件开发者已被封禁。目前尚未收到可能的收集数据和恶意入侵后果报告。
我们提醒该插件很多用户都在使用,请务必确认已经卸载该插件并且建议利用安全软件扫描全盘以降低可能的潜在风险。
Hacker News 讨论 |互联网档案馆存档 |GitHub 插件市场 Issue
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
😱362👍14😁12❤11🤬5🔥4🤔2🥰1
韩国因苹果非法使用数据预测支付能力开出罚单
韩国政府对苹果公司处以46.5亿韩元的罚款,因其非法使用未经用户同意的数据预测App Store购买支付能力。
Kakao Pay在2018年4月至7月间收集了约4000万用户的数据,并将其传输至新加坡的Alipay,创建了非足额资金(NSF)评分模型。并向苹果公司提供了约 4000 万用户的个人信息,用于苹果公司的服务用户评估。这些信息包括用户的唯一识别码、手机号码、电子邮件地址以及与资金不足可能性相关的 24 项数据。
苹果未在隐私政策中披露与Alipay的委托关系。苹果代表在2月25日的听证会上态度不配合,称相关人员已离职、记录无法追踪。并且苹果公司代表对此事避而不谈。
Appleinsider
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
韩国政府对苹果公司处以46.5亿韩元的罚款,因其非法使用未经用户同意的数据预测App Store购买支付能力。
Kakao Pay在2018年4月至7月间收集了约4000万用户的数据,并将其传输至新加坡的Alipay,创建了非足额资金(NSF)评分模型。并向苹果公司提供了约 4000 万用户的个人信息,用于苹果公司的服务用户评估。这些信息包括用户的唯一识别码、手机号码、电子邮件地址以及与资金不足可能性相关的 24 项数据。
苹果未在隐私政策中披露与Alipay的委托关系。苹果代表在2月25日的听证会上态度不配合,称相关人员已离职、记录无法追踪。并且苹果公司代表对此事避而不谈。
Appleinsider
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
👍109😁45❤14😱8👏5🤬2🤣2🫡2
英伟达业绩、指引均超市场预期 黄仁勋感叹Blackwell芯片需求惊人
在2025财年,英伟达总共实现1304.97亿美元营收,同比增长114%;净利润达到728.80亿美元,同比增长145%。
短短两年时间,英伟达数据中心业务的季度营收翻了足足10倍。在刚刚过去的财年里,英伟达总共卖掉价值1152亿美元的算力芯片,两年前(2023财年)这个数字还是150亿美元。
黄仁勋也在财报中表示,市场对Blackwell芯片的需求令人惊叹,因为推理AI增加了另一种扩展法则——增加训练的计算能力使模型更智能,而长时间思考的额外算力使答案更智能。公司成功地大规模推进了Blackwell AI超级计算机的生产,在其首个季度实现了数十亿美元的销售额。
财联社
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
在2025财年,英伟达总共实现1304.97亿美元营收,同比增长114%;净利润达到728.80亿美元,同比增长145%。
短短两年时间,英伟达数据中心业务的季度营收翻了足足10倍。在刚刚过去的财年里,英伟达总共卖掉价值1152亿美元的算力芯片,两年前(2023财年)这个数字还是150亿美元。
黄仁勋也在财报中表示,市场对Blackwell芯片的需求令人惊叹,因为推理AI增加了另一种扩展法则——增加训练的计算能力使模型更智能,而长时间思考的额外算力使答案更智能。公司成功地大规模推进了Blackwell AI超级计算机的生产,在其首个季度实现了数十亿美元的销售额。
财联社
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
👎144🤔25😁16🔥13👍10❤9🐳2😡2
Media is too big
VIEW IN TELEGRAM
iPhone 16e深度评测:C1自研通信模块显著提升能效与续航表现
在iPhone 16e的深度评测中,苹果自研的C1通信模块表现尤为突出,尤其在功耗控制方面展现了巨大优势。相比iPhone 16,iPhone 16e在5G和4G网络下的功耗显著更低,同时在低干扰环境下,5G信号传输速度更快。
尽管iPhone 16e的A18处理器GPU性能相对较弱,但在能效方面与高端版相当,进一步提升了设备的续航表现。整体来看,iPhone 16e的续航超过了搭载高通基带的小尺寸iPhone 16,接近iPhone 16 Plus和Pro Max的续航水平。
极客湾Geekerwan的哔哩哔哩
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
在iPhone 16e的深度评测中,苹果自研的C1通信模块表现尤为突出,尤其在功耗控制方面展现了巨大优势。相比iPhone 16,iPhone 16e在5G和4G网络下的功耗显著更低,同时在低干扰环境下,5G信号传输速度更快。
尽管iPhone 16e的A18处理器GPU性能相对较弱,但在能效方面与高端版相当,进一步提升了设备的续航表现。整体来看,iPhone 16e的续航超过了搭载高通基带的小尺寸iPhone 16,接近iPhone 16 Plus和Pro Max的续航水平。
极客湾Geekerwan的哔哩哔哩
📮投稿 ☘️频道 🌸聊天 🗞️𝕏
3👍219🤔21👎14😁12❤9🔥7🙉4🤝1