全球新冠感染人数超过 500 万

根据约翰霍普金斯大学的数据，全球新冠确诊病例突破了 500 万至  510 万，其中美国 157.9 万，俄罗斯 31.7 万，巴西 31 万，英国  25.2 万，西班牙 23.3 万，意大利 22.8 万，法国 18.1 万，德国 17.9 万...新冠导致的死亡病例突破了 33.2 万，其中美国超过 9 万。尽管每周平均死亡人数一直在下降，但过去一周全球每天平均新增的病例数超过 9.1 万例，高于以往任何时候。Media

https://www.solidot.org/story?sid=64440

雀巢将在中国上市人造肉

世界最大食品企业瑞士雀巢宣布扩建中国天津市的工厂，在亚洲首次启动基于植物的“人造肉”的生产。中国因家畜传染病影响，猪肉产量减少，同时受新型冠状病毒疫情的影响，预计肉类进口量减少。雀巢着眼人造肉的需求增加，将加快市场开拓步伐，“计划在 2020 年底之前上市（肉等）植物基产品”。中国在猪肉消费量上占到世界的一半左右。2018 年后因非洲猪瘟蔓延，猪饲养头数比两年前减少了约两成。这种肉类供给短缺的状况也有望推动人造肉的需求扩大。Media

https://www.solidot.org/story?sid=64441

华为试图利用竞争对手的芯片应对美国禁令

日经报道，为了维持其消费者电子业务，华为正与竞争对手联发科和紫光展锐协商采购其芯片。联发科是第二大移动芯片开发商，而紫光展锐则是华为海思之后第二大中国移动芯片设计公司。因美国的出口管制新规，向华为出口使用到美国技术的芯片需要获得许可证。华为最主要的芯片代工合作伙伴台积电已经暂停接收华为的订单。华为现有的手机芯片消耗光之后，它如何能继续维持其手机业务？华为目前的计划是采购竞争对手的芯片。据报道，华为移动芯片库存能维持到今年年底。如果芯片供应问题没有解决，华为面临的真正挑战将在第四季度发生。如果华为使用来自联发科和紫光展锐的中低端手机芯片，那么它的高端手机产品在日益竞争的市场中将面临劣势。Media

https://www.solidot.org/story?sid=64442

DNS 解析程序漏洞允许攻击者发动拒绝服务攻击

DNS 解析程序的一个漏洞允许攻击者通过封包放大创造拒绝服务条件。该漏洞被称为 NXNSAttack。攻击者滥用了 DNS 委托机制，它发送的委托只包含权威 DNS 服务器的名字但不包含其 IP 地址。DNS 解析程序不能向“名字”发送域名查询，因此解析器首先需要获得权威 DNS 服务器的 IPv4 或 IPv6 地址，之后才能继续查询域名。NXNSAttack 就是基于这一原理，攻击者发送的委托包含了假的权威服务器名字，指向受害者的 DNS 服务器，迫使解析程序对受害者的 DNS 服务器生成查询。一次查询会被放大数十次乃至数百次，对受害者服务器发动了拒绝服务攻击。众多 DNS 软件都受到影响，其中包括 ISC BIND (CVE-2020-8616)、NLnet labs Unbound (CVE-2020-12662)、PowerDNS (CVE-2020-10995)、 CZ.NIC Knot Resolver (CVE-2020-12667)、Cloudflare、Google、Amazon、Microsoft、Oracle(DYN)、Verisign、IBM Quad9 和 ICANN。细节可查阅论文。Media

https://www.solidot.org/story?sid=64443

微软开源 1983 年的 GW-BASIC

微软在历史参考和教育目的的名义下开源了 1983 年的 GW-BASIC，源代码托管在 GitHub 上，采用 MIT 许可证。微软高级项目经理 Rich Turner 表示他们不接受修改任何代码的 PR 请求。GW-BASIC 是源自 IBM Advanced BASIC/BASICA 的 BASIC 解释器，而后者则是 Microsoft BASIC 的移植。微软不同的 BASIC 实现都可以上溯到比尔盖茨和保罗艾伦完成的微软首个产品：Altair 8800 BASIC 解释器。和 70/80 年代的众多软件一样，GW-BASIC 的源代码是百分之百得汇编语言。Media

https://www.solidot.org/story?sid=64444

开源软件供应链攻击

德国和法国的研究人员在预印本网站 arXiv 上发表论文（PDF），分析了过去几年发生的开源软件供应链攻击。软件供应链攻击有两类：其一是在软件产品中植入恶意代码去感染终端用户，此类攻击的一个著名例子是发生在乌克兰的 NotPetya 勒索软件攻击，攻击者入侵了乌克兰流行会计软件的更新服务器释出了恶意更新，这次攻击造成了数十亿美元的损失，是已知最具破坏性的网络攻击之一。另一个例子是 CCleaner 的恶意版本通过官网传播给终端用户，它在长达一个多月时间里被下载了 230 万次。另一类软件供应链攻击是向软件产品的依赖包植入恶意代码。随着开源软件开发模式的流行，此类的攻击日益常见。研究人员分析了 npm、PyPI 和 RubyGems 软件包管理系统发现的 174 个恶意依赖包，他们发现 56% 的软件包在安装时触发恶意行为，41% 使用额外的条件去判断是否运行。61% 的恶意软件包利用了名字相似性向开源生态系统植入恶意包。攻击者的主要目的是析取数据。Media

https://www.solidot.org/story?sid=64445

中国黑客组织入侵网游开发商

上个月安全公司 QuoIntelligence 报告，中国黑客组织 Winnti (aka APT41、BARIUM、Blackfly)尝试入侵《仙境传说》开发商韩国重力社的内部网络。Winnti 被认为是恶意版 CCleaner 的幕后攻击者。安全公司 ESET 本周四披露了 Winnti 对网游公司发动攻击的更多细节。安全研究人员称，Winnti 攻击了韩国和台湾的多个热门网游开发商，在其中一个案例中，攻击者入侵了受害者的构建系统，发动了供应链攻击，将游戏可执行文件变成了木马。在另一个案例中，攻击者入侵了游戏服务器，操纵游戏内虚拟货币以获得经济利益。在 2018 年的一次攻击中， Winnti 窃取了 Nfinity Games 的软件证书，该证书直到 ESET 警告其滥用之后才被撤销。Media

https://www.solidot.org/story?sid=64446

三星手机因锁屏 APP 闰月 bug 无限重启

三星手机用户通过社交网络如微博和贴吧报告他们的手机出现了乱码、黑屏和无限重启等故障。问题被认为是锁屏 APP 闰月 bug 导致，5 月 23 日是农历闰四月初一，旧版本的三星锁屏 APP的农历显示存在 bug，导致了系统崩溃。更新到新版本的用户报告没有出现问题。很多用户还报告他们手机上的数据也因为这一 bug 丢失了。Media

https://www.solidot.org/story?sid=64447

新西兰总理提议四天工作制

四天工作制被视为是一种改善工作生活平衡的方法，而新西兰总理 Jacinda Ardern 则把它作为一种疫情之后重振经济的方法。她谈论了如何恢复国内旅游业，新冠疫情迫使全世界各地的人居家隔离，减少外出旅游，而新西兰六成的旅游收入来自国内。新西兰总理鼓励雇主考虑更灵活的工作制，从远程工作到更少的工作日，认为减少工作日有助于国内旅游业。新西兰对四天工作制并不陌生，2018 年新西兰公司 Perpetual Guardian 在实验了两个月的四天工作制之后宣布将这一工作制永久化。Media

https://www.solidot.org/story?sid=64448

考古学家可能发现了威廉华莱士的秘密要塞

1995 年的好莱坞电影《勇敢的心》让反抗英格兰统治的苏格兰骑士威廉华莱士成为家喻户晓的人物。华莱士的起义始于 1297 年 5 月，他在 Stirling 桥战役中击败了英格兰军队而取得了一场大捷。华莱士以善用地形而闻名，传说他曾在苏格兰邓弗里斯郡的某个秘密要塞发动了至少一场突袭。现在，考古学家 Matt Ritchie 在 《Now Forestry Journal》期刊上发表论文声称可能找到了华莱士的秘密要塞。Matt Ritchie 曾与 Skyscape Survey 合作使用无人机执行航摄勘测，利用软件形成 3D 地形模型。Ritchie 称他们获得的邓弗里斯郡要塞遗址地形与历史记录中描述十分匹配。Ritchie 认为它是真正的华莱士要塞，表示这至少为旧的故事添加了新的篇章。Media

https://www.solidot.org/story?sid=64449

Facebook 员工将可选择远程，但可能会降薪

因尚未结束的新冠疫情，Facebook 已通知员工在 2020 年剩余的大部分时间里他们仍然以远程办公为主。那么疫情结束之后呢？公司创始人兼 CEO Mark Zuckerberg 在本周直播中表示将向员工提供远程办公的选择，并预计五到十年内五成的工作将是远程。但这是有代价的，Zuckerberg 称 Facebook 按市场价支付薪水，根据地点的不同而存在差异，它将会根据工作地点去调整薪水。Facebook 将会检查 IP 地址识别出对所生活地点撒谎的人。Media

https://www.solidot.org/story?sid=64450

NASA 宣布 SpaceX 已经准备好首次载人飞行

本周四和周五，NASA 与 SpaceX 和国际合作伙伴的高级管理人员举行会议评估了即将进行的载人太空飞行的各个方面。周五下午，NASA 副局长 Steve Jurczyk 宣布无大问题，SpaceX 已经做好了发射准备。SpaceX 的首次载人太空飞行计划在 5 月 27 日周三美国东部时间 4:33pm  (20:33 UTC) 发射，它的载人飞船 Crew Dragon 将把宇航员 Doug Hurley 和 Bob Behnken 送到国际空间站。SpaceX 的 Falcon 9 火箭将在周五和周六执行静态点火测试，宇航员将执行一次彩排。目前对于发射最大的问题可能将是当地天气。Media

https://www.solidot.org/story?sid=64451

瑞德西韦临床试验显示能缩短治疗时间

《The New England Journal of Medicine》期刊本周五发表了吉利德公司（Gilead）抗病毒药物瑞德西韦（remdesivir）的新冠临床试验结果。在 3 期临床试验中，瑞德西韦显示能降低感染者的恢复时间，从 15 天减少到 11 天。美国、欧洲和亚洲 60 个不同地点的 1,059 名新冠病人参与了试验，538 名病人服用了 10 天疗程的瑞德西韦，另外 521 名病人接受了安慰剂治疗。研究人员每天对患者进行评估，判断症状的严重程度和药物可能的副作用。相比安慰剂组，瑞德西韦缩短了恢复时间。在新冠症状出现之后较晚(如 10 天之后)服药的患者对药物的反应好于较早服药的患者。服用瑞德西韦的患者死亡人数低于安慰剂组，但双方的差距可能不具有统计显著性（21 对 28）。相比之下，美国总统特朗普推崇的药物羟氯喹则会增加死亡率。Media

https://www.solidot.org/story?sid=64452

科学家发现帝企鹅粪便会制造笑气

根据发表在《Science of the Total Environment》期刊上的一项研究，科学家发现帝企鹅留下的粪便会制造笑气云。哥本哈根大学的研究人员调查了企鹅活动如何影响南乔治亚岛的温室气体排放。南乔治亚岛有着世界最大的帝企鹅种群，最近的估计大约有 15 万对。他们发现企鹅高度活跃的地方笑气（一氧化二氮）含量是其它地方的 120 倍。企鹅粪便本身并不会产生笑气，而是来自企鹅所食用的磷虾和鱼的含氮化合物与土壤中的细菌作用产生的。Media

https://www.solidot.org/story?sid=64453

呼吸习惯与身心健康相关

绝大多数人对呼吸有误解。我们认为呼吸是一种被动的行为。呼吸意味着活着，停止呼吸意味着死亡。但呼吸并非是简单的二元关系。如何呼吸至关重要（付费墙，绕过）。我们呼吸摄入的空气分子比地球上所有沙滩上的沙砾还要多。我们每天呼入呼出的空气分子重约 30 磅，远超饮食。呼吸的方式与饮食、运动和基因一样重要。正确的呼吸能让我们活得更久更健康，糟糕的呼吸可能导致一系列慢性疾病，可能会改变我们的身体结构。古代的人对此主题有更深入的理解。主要宗教和文化都认为正确的呼吸对健康很关键。中国古代学者还写了多本关于呼吸的书籍。印度瑜伽修行者更是呼吸的大师。我们许多人的呼吸习惯都不够好，我们会将其归罪于身体年龄。大约 30 岁之后，胸部骨骼会变薄向内收缩。到  50 岁时我们失去了 12% 的肺容量。这一收缩之后会加速。我们被迫更快更艰难的呼吸。但好消息是我们可以在任何时候改变呼吸习惯，逆转肺容量损失。1980 年代，长达 70 年的心脏疾病研究项目 Framingham Study 发现，衡量寿命的一个最关键指标不是遗传、饮食和每天的锻炼量，而是肺容量。肺容量越大寿命越长。更大的肺部可以用更少的呼吸吸入更多的空气，减少身体的磨损。健康呼吸的第一步是延长呼吸，更深入更长点。用大约 5 秒钟的时间慢慢吸气，然后用类似的时间呼气，每分钟大约完成六次呼吸。按照这样的节奏呼气吸气，几分钟就能将血压降低 10 个甚至 15 个点。健康呼吸的第二步：用鼻子呼吸。

英国首相计划减少华为参与 5G 建设

路透社援引知情人士的消息报道，英国正在审慎检视美国对华为的新制裁可能给英国网络造成的任何影响。“美方宣布扩大针对华为的制裁行动后，英国国家网路安全中心正仔细检视它们可能给英国网络造成的任何影响，”一位英国政府发言人说。而据每日电讯报报导，在新冠病毒危机爆发之后，首相约翰逊计划减少华为在英国 5G 网络建设中的参与。约翰逊已要求官员制定计划，到 2023 年将中国参与英国基础建设的程度削减至零。约翰逊料将以降低对中国的依赖作为手段，增加英国在退欧后与美国进行贸易谈判时的筹码。Media

https://www.solidot.org/story?sid=64455

Linus Torvalds 桌面计算机从英特尔切换到 AMD

Linus Torvalds 在内核邮件列表上宣布释出 Linux 5.7 rc7，同时透露他刚刚升级了主桌面计算机。Linux 之父称，15 年来他的主计算机第一次不是基于英特尔的 CPU，他切换到了 AMD 的线程撕裂者 3970x，现在测试构建所需时间只需要以前的三分之一。他相信下一次合并窗口期间将会体验到升级所带来的显著好处。线程撕裂者 3970x 是 32 核 64 线处理器，主频 3.7GHz 可加速至 4.5GHz，它是 AMD 次高端桌面处理器，次于线程撕裂者 3990x(64 核 128 线) ，远胜过英特尔目前最高端的 18 核桌面处理器。Media

https://www.solidot.org/story?sid=64456

Chromium 项目七成安全漏洞属于内存安全问题

Chromium 项目报告，它七成的严重安全 bug 属于内存安全问题，因此它的下一个项目将是在源头阻止此类 bug。对 2015 年之后发现的 912 个高危级安全 bug 的分析发现，七成为内存不安全问题，如 C/C++ 指针错误，其中一半是使用后释放 bug。这些 bug 遍及整个代码库，非安全性的 bug 很大一部分其根源也是内存安全问题。Chromium 项目称它的沙盒机制在设计时就考虑了此类 Bug 的存在，但现在沙盒和网站隔离机制已经达到其能力的极限。他们现在考虑的一个方案是使用现有的更安全的语言如 Rust 和 Swift 等。Media

https://www.solidot.org/story?sid=64457

GitHub 恢复 Popcorn Time 代码库

本月初，代表美国主要电影公司和流媒体公司的美国电影协会向 GitHub 递交了 DMCA 删除通知，称开源项目 Popcorn Time 广泛侵犯了电影和电视节目的版权。GitHub 之后根据要求关闭了 Popcorn Time 的代码库。现在，Popcorn Time 开发团队递交了反诉，称代码库本身不包含任何版权材料，也不包含任何版权材料的链接。DMCA 通知并不是处理这一情况合适的工具。GitHub 如今恢复了 Popcorn Time 开源项目的完整访问。Media

https://www.solidot.org/story?sid=64459

泰国移动运营商泄露 83 亿互联网记录

研究人员发现了泰国移动运营商 Advanced Info Service (AIS)子公司控制的一个 ElasticSearch 数据库可公开访问，数据库包含大约 83 亿记录，容量约为 4.7 TB，每 24 小时增加 2 亿记录。AIS 是泰国最大的 GSM 移动运营商，用户约有 4000 万。可公开访问的数据库由其子公司 Advanced Wireless Network (AWN)控制，包括了 DNS 查询日志和 NetFlow 日志，这些数据可用于绘制一个用户的网络活动图。研究人员尝试联系 AIS 但毫无结果，直到最后联络泰国国家计算机紧急响应小组之后数据库才无法公开访问。Media

https://www.solidot.org/story?sid=64460

Notion 被屏蔽

笔记应用 Notion 通过官方状态页和 Twitter 账号宣布它遭到屏蔽，表示正在监视这一情况，会继续发布更新。Notion 是将笔记、任务、维基和数据库集成在一起的协作平台，成立于 2016 年，最初有免费、个人、团队和企业四种订阅方案，本月 Notion 宣布将免费和个人订阅方案合二为一，个人订阅方案增加一个专业版，个人订阅免费方案的存储不再有容量限制，主要限制为只能与五名外部用户协作，文件上传容量最大为 5MB。Media

https://www.solidot.org/story?sid=64461