Chrome与Firefox相继修复沙箱漏洞
谷歌本周紧急为Windows版Chrome推送补丁,修复了一个被用于针对俄罗斯民众的零日漏洞。该漏洞由卡巴斯基发现,源于针对俄罗斯记者、学者和政府机构的钓鱼活动,用户点击恶意链接后,漏洞可突破Chrome的安全沙箱,后续或导致更严重的攻击,虽暂未发现恶意软件感染,但推测与远程代码执行漏洞配合使用。
随后,Mozilla也展开行动。Mozilla的Firefox工程师发现自家浏览器的IPC代码存在类似缺陷,编号为CVE-2025-2857,同样可导致Windows系统下的沙箱逃逸。周四,Mozilla推出修复补丁。基于Firefox开源项目的Tor浏览器,也于周四发布了仅针对Windows的紧急安全更新 。
The Register
📮投稿 ☘️频道 🌸聊天
谷歌本周紧急为Windows版Chrome推送补丁,修复了一个被用于针对俄罗斯民众的零日漏洞。该漏洞由卡巴斯基发现,源于针对俄罗斯记者、学者和政府机构的钓鱼活动,用户点击恶意链接后,漏洞可突破Chrome的安全沙箱,后续或导致更严重的攻击,虽暂未发现恶意软件感染,但推测与远程代码执行漏洞配合使用。
随后,Mozilla也展开行动。Mozilla的Firefox工程师发现自家浏览器的IPC代码存在类似缺陷,编号为CVE-2025-2857,同样可导致Windows系统下的沙箱逃逸。周四,Mozilla推出修复补丁。基于Firefox开源项目的Tor浏览器,也于周四发布了仅针对Windows的紧急安全更新 。
The Register
📮投稿 ☘️频道 🌸聊天
和蚊子“爆了”?新药尼替西农或成控制疟疾传播的新工具
控制蚊虫数量是防控疟疾的重要手段之一。除了传统的杀虫剂和抗寄生虫药物伊维菌素外,《Science Translational Medicine》上的最新研究发现,尼替西农(nitisinone)有望成为一种通过“毒血”机制控制蚊子数量的新策略。
尼替西农原本用于治疗如黑尿酸症和酪氨酸血症1型等罕见遗传代谢疾病。该药物通过阻断人体内酪氨酸代谢过程中的关键酶4-羟基苯丙酮酸双加氧酶(HPPD)发挥作用。当蚊子吸食含有尼替西农的人体血液后,这一酶在蚊子体内也被抑制,导致其无法正常消化血液,最终快速死亡。
研究显示,尼替西农在人体中的半衰期远长于伊维菌素,意味着其杀蚊效果可在血液中持续更长时间。相比之下,伊维菌素虽然被广泛用于控制蚊虫,但存在环境毒性大和抗药性风险高的问题。尼替西农不仅能杀死所有年龄段的蚊子,还对已产生抗药性的蚊群有效。
本次研究采用了正在接受尼替西农治疗患者的血样,验证其血液对传播疟疾的主要蚊种按蚊(Anopheles gambiae)的致死作用。实验发现,服药者的血液可在短时间内杀死吸血蚊子。研究团队还对尼替西农的药代动力学进行了分析,为后续制定合适的给药剂量提供了依据。
尼替西农在控制蚊虫方面具有专一性,只对吸血昆虫有效,具有较好的环境友好性。未来该药物有望与伊维菌素交替使用,在不同区域和场景中发挥互补优势。研究团队计划在下一阶段开展半野外试验,进一步评估其在实际环境中的控制效果。
Notre Dame News
Science Translational Medicine
📮投稿 ☘️频道 🌸聊天
控制蚊虫数量是防控疟疾的重要手段之一。除了传统的杀虫剂和抗寄生虫药物伊维菌素外,《Science Translational Medicine》上的最新研究发现,尼替西农(nitisinone)有望成为一种通过“毒血”机制控制蚊子数量的新策略。
尼替西农原本用于治疗如黑尿酸症和酪氨酸血症1型等罕见遗传代谢疾病。该药物通过阻断人体内酪氨酸代谢过程中的关键酶4-羟基苯丙酮酸双加氧酶(HPPD)发挥作用。当蚊子吸食含有尼替西农的人体血液后,这一酶在蚊子体内也被抑制,导致其无法正常消化血液,最终快速死亡。
研究显示,尼替西农在人体中的半衰期远长于伊维菌素,意味着其杀蚊效果可在血液中持续更长时间。相比之下,伊维菌素虽然被广泛用于控制蚊虫,但存在环境毒性大和抗药性风险高的问题。尼替西农不仅能杀死所有年龄段的蚊子,还对已产生抗药性的蚊群有效。
本次研究采用了正在接受尼替西农治疗患者的血样,验证其血液对传播疟疾的主要蚊种按蚊(Anopheles gambiae)的致死作用。实验发现,服药者的血液可在短时间内杀死吸血蚊子。研究团队还对尼替西农的药代动力学进行了分析,为后续制定合适的给药剂量提供了依据。
尼替西农在控制蚊虫方面具有专一性,只对吸血昆虫有效,具有较好的环境友好性。未来该药物有望与伊维菌素交替使用,在不同区域和场景中发挥互补优势。研究团队计划在下一阶段开展半野外试验,进一步评估其在实际环境中的控制效果。
Notre Dame News
Science Translational Medicine
📮投稿 ☘️频道 🌸聊天
微软承认移除 OOBE bypassnro 脚本,强制要求 Win11 设备联网激活
微软今天发布了最新的 Build 26200.5516 和 26120.3653 预览版更新,并移除了上述脚本 ——bypassnro.cmd,这意味着微软在强制要求 Windows 11 设备联网激活方面不再留有余地。
微软对此表示:“我们从版本中移除了 bypassnro.cmd 脚本,以增强 Windows 11 的安全性和用户体验。此举确保所有用户在完成初始化时均保持互联网连接并登录微软账户。”
IT之家提醒,用户仍可通过修改注册表重新激活该功能,我们可以在 OOBE 初始化阶段按下 Shift+F10 调出命令提示符并输入以下命令:
Windows Blog | IT之家
📮投稿 ☘️频道 🌸聊天
微软今天发布了最新的 Build 26200.5516 和 26120.3653 预览版更新,并移除了上述脚本 ——bypassnro.cmd,这意味着微软在强制要求 Windows 11 设备联网激活方面不再留有余地。
微软对此表示:“我们从版本中移除了 bypassnro.cmd 脚本,以增强 Windows 11 的安全性和用户体验。此举确保所有用户在完成初始化时均保持互联网连接并登录微软账户。”
IT之家提醒,用户仍可通过修改注册表重新激活该功能,我们可以在 OOBE 初始化阶段按下 Shift+F10 调出命令提示符并输入以下命令:
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE /v BypassNRO /t REG_DWORD /d 1 /f shutdown /r /t 0Windows Blog | IT之家
📮投稿 ☘️频道 🌸聊天
骁龙8 Elite Gen 2爆料:采用TSMC最新3nm工艺并升级Adreno 840 GPU
高通即将推出其第二款旗舰芯片Snapdragon 8 Elite Gen 2,该芯片将继续使用自研的Oryon核心。尽管其CPU集群维持与前代骁龙8 Elite相同的“2 + 6”配置,但在技术上有诸多升级。此次,骁龙8 Elite Gen 2将采用台积电最新的第三代3nm工艺“N3P”进行量产。
骁龙8 Elite Gen 2预计将支持ARM的最新指令集,包括可扩展矩阵扩展(SME)和可扩展矢量扩展(SVE),使其能够更高效地处理复杂的工作负载。此外,升级版的Adreno 840 GPU也将提升图形性能,尽管具体指标尚未披露。高通希望通过这些技术升级继续与苹果竞争,并计划到2026年采用2nm技术推出新款旗舰SoC,其中可能包括骁龙8 Elite Gen 3。
数码闲聊站
📮投稿 ☘️频道 🌸聊天
高通即将推出其第二款旗舰芯片Snapdragon 8 Elite Gen 2,该芯片将继续使用自研的Oryon核心。尽管其CPU集群维持与前代骁龙8 Elite相同的“2 + 6”配置,但在技术上有诸多升级。此次,骁龙8 Elite Gen 2将采用台积电最新的第三代3nm工艺“N3P”进行量产。
骁龙8 Elite Gen 2预计将支持ARM的最新指令集,包括可扩展矩阵扩展(SME)和可扩展矢量扩展(SVE),使其能够更高效地处理复杂的工作负载。此外,升级版的Adreno 840 GPU也将提升图形性能,尽管具体指标尚未披露。高通希望通过这些技术升级继续与苹果竞争,并计划到2026年采用2nm技术推出新款旗舰SoC,其中可能包括骁龙8 Elite Gen 3。
数码闲聊站
📮投稿 ☘️频道 🌸聊天
OpenAI 须在年底前完成营利性转型,否则无法获得 400 亿美元全额融资
《华尔街日报》今日报道称,OpenAI 必须在今年年底前转型为一家营利性公司才能获得由软银领投、处于最后阶段的 400 亿美元全额融资。如果 OpenAI 无法在今年年底前重组为一家营利性公司,本轮融资规模可能会缩减至 200 亿美元(现汇率约合 1453.6 亿元人民币)。
消息人士透露,根据融资协议细节,软银集团将先行投资 75 亿美元,另有财团注资 25 亿美元。多名知情人士称,对冲基金 Magnetar Capital 可能会贡献 10 亿美元资金。此外,今年晚些时候将启动第二轮 300 亿美元融资,其中软银计划再投 225 亿美元,财团出资 75 亿美元。
华尔街日报
📮投稿 ☘️频道 🌸聊天
《华尔街日报》今日报道称,OpenAI 必须在今年年底前转型为一家营利性公司才能获得由软银领投、处于最后阶段的 400 亿美元全额融资。如果 OpenAI 无法在今年年底前重组为一家营利性公司,本轮融资规模可能会缩减至 200 亿美元(现汇率约合 1453.6 亿元人民币)。
消息人士透露,根据融资协议细节,软银集团将先行投资 75 亿美元,另有财团注资 25 亿美元。多名知情人士称,对冲基金 Magnetar Capital 可能会贡献 10 亿美元资金。此外,今年晚些时候将启动第二轮 300 亿美元融资,其中软银计划再投 225 亿美元,财团出资 75 亿美元。
华尔街日报
📮投稿 ☘️频道 🌸聊天
谷歌在英国开放第三方支付选项,响应CMA反垄断调查
谷歌将于2025年3月29日在英国Google Play应用商店实施用户自主选择计费政策,允许非游戏类应用开发者补充接入第三方支付系统。选择该方案的开发者需保留Google Play原有支付系统,并享受4%的费用减免。此政策为谷歌回应英国竞争与市场管理局(CMA)2022年启动的反垄断调查,目前美国、印度、欧洲经济区等多国已实施同类方案。CMA此前指出谷歌与苹果在应用内支付领域存在垄断风险,最终通过监管改革终止调查。
TechCrunch
📮投稿 ☘️频道 🌸聊天
谷歌将于2025年3月29日在英国Google Play应用商店实施用户自主选择计费政策,允许非游戏类应用开发者补充接入第三方支付系统。选择该方案的开发者需保留Google Play原有支付系统,并享受4%的费用减免。此政策为谷歌回应英国竞争与市场管理局(CMA)2022年启动的反垄断调查,目前美国、印度、欧洲经济区等多国已实施同类方案。CMA此前指出谷歌与苹果在应用内支付领域存在垄断风险,最终通过监管改革终止调查。
TechCrunch
📮投稿 ☘️频道 🌸聊天
Ubuntu曝安全绕过风险 需手动加固
安全公司Qualys发现Ubuntu Linux存在三处安全绕过问题,允许本地无权限用户绕过其对用户命名空间的限制,从而在隔离环境中获得管理权限。这些问题影响启用了相关限制的Ubuntu 23.10及默认启用的24.04版本。
攻击者可通过利用
Canonical公司已确认此发现,但将其视为深度防御机制的局限性,而非紧急漏洞。因此,官方建议用户采取手动加固措施,并计划在未来版本中改进防护。
BleepingComputer
📮投稿 ☘️频道 🌸聊天
安全公司Qualys发现Ubuntu Linux存在三处安全绕过问题,允许本地无权限用户绕过其对用户命名空间的限制,从而在隔离环境中获得管理权限。这些问题影响启用了相关限制的Ubuntu 23.10及默认启用的24.04版本。
攻击者可通过利用
aa-exec、busybox或LD_PRELOAD等方式绕过AppArmor防护机制。虽然这些绕过本身不足以完全控制系统,但可能被用来辅助利用其他需要高权限的内核漏洞,构成潜在风险。Canonical公司已确认此发现,但将其视为深度防御机制的局限性,而非紧急漏洞。因此,官方建议用户采取手动加固措施,并计划在未来版本中改进防护。
BleepingComputer
📮投稿 ☘️频道 🌸聊天