美国参议院通过议案限制中国公司在美上市
美国参议院周三通过了一项议案,可能会阻止一些中国公司在美国交易所上市,除非它们遵守美国的审计和监管标准。消息发布后,在美国上市的中资企业股票逆势下挫。这项由共和党参议员 John Kennedy 和民主党参议员 Chris Van Hollen 提出的议案获得了一致通过。它还必须在众议院获得通过,并由特朗普总统签署才能成为法律。如果一家公司连续三年未能达到美国上市公司会计监督委员会的审计要求,“外国公司问责法案”将禁止该公司的证券在美国证券交易所上市。该措施还将要求上市公司披露它们是否为外国政府所有或控股。该法案将适用于所有外国公司,但主要针对的是中国。Media
https://www.solidot.org/story?sid=64428
美国参议院周三通过了一项议案,可能会阻止一些中国公司在美国交易所上市,除非它们遵守美国的审计和监管标准。消息发布后,在美国上市的中资企业股票逆势下挫。这项由共和党参议员 John Kennedy 和民主党参议员 Chris Van Hollen 提出的议案获得了一致通过。它还必须在众议院获得通过,并由特朗普总统签署才能成为法律。如果一家公司连续三年未能达到美国上市公司会计监督委员会的审计要求,“外国公司问责法案”将禁止该公司的证券在美国证券交易所上市。该措施还将要求上市公司披露它们是否为外国政府所有或控股。该法案将适用于所有外国公司,但主要针对的是中国。Media
https://www.solidot.org/story?sid=64428
企业加强安全以防内部泄密
在新冠疫情导致的混乱时期,网络罪犯和黑客对企业的攻击增多,与此同时,各企业还面临着另一个同样严重的安全威胁:它们自己的雇员。随着大量员工不用在他们老板的警惕目光下工作,而且解雇潮令一些员工心怀不满,企业越来越青睐于“老大哥”式的监控工具,以防止员工泄露或盗窃敏感数据。所谓的内部人员威胁包括员工无意间将隐私数据分享至工作网络之外,也包括故意盗窃数据,通常是为可能的金钱回报或对雇主的怨恨所驱动。较少见的情况(但这种情况正在增多)是知识产权盗窃和替外国政府刺探情报。虽然长期以来,雇主可以合法地监控电子邮件和网络行为,以检测外部网络安全威胁的迹象,但对于一些雇主而言,对员工运用此类工具所蕴含的隐私和信任问题会引起不适。Media
https://www.solidot.org/story?sid=64429
在新冠疫情导致的混乱时期,网络罪犯和黑客对企业的攻击增多,与此同时,各企业还面临着另一个同样严重的安全威胁:它们自己的雇员。随着大量员工不用在他们老板的警惕目光下工作,而且解雇潮令一些员工心怀不满,企业越来越青睐于“老大哥”式的监控工具,以防止员工泄露或盗窃敏感数据。所谓的内部人员威胁包括员工无意间将隐私数据分享至工作网络之外,也包括故意盗窃数据,通常是为可能的金钱回报或对雇主的怨恨所驱动。较少见的情况(但这种情况正在增多)是知识产权盗窃和替外国政府刺探情报。虽然长期以来,雇主可以合法地监控电子邮件和网络行为,以检测外部网络安全威胁的迹象,但对于一些雇主而言,对员工运用此类工具所蕴含的隐私和信任问题会引起不适。Media
https://www.solidot.org/story?sid=64429
乌克兰逮捕黑客 Sanix
乌克兰安全部门宣布逮捕黑客 Sanix(a.k.a.“Sanixer“),称他们在其计算机上找到的记录显示他出售各种数据库,包括登陆凭证、电邮收件箱、银行卡的 PIN 码,数字货币钱包,PayPal 账号和漏洞信息。Sanix 因在去年一月出售容量超过 87GB 的数据库 Collection #1 为闻名,其中包含了 7.73 亿电子邮件地址和 2122 万个唯一密码。但该数据库并不是近期泄露的,而是几年前泄露用户账号信息整理而来。Sanix 在接受采访时承认了这一点,表示手中还有较新的泄露账号信息,总容量超过 4TB。Sanix 不是什么犯罪大师,他留下了很多线索可以跟踪到其真实身份。在被捕前,网上记录显示他在忙碌在兜售窃取的各种用户信息数据库。Media
https://www.solidot.org/story?sid=64430
乌克兰安全部门宣布逮捕黑客 Sanix(a.k.a.“Sanixer“),称他们在其计算机上找到的记录显示他出售各种数据库,包括登陆凭证、电邮收件箱、银行卡的 PIN 码,数字货币钱包,PayPal 账号和漏洞信息。Sanix 因在去年一月出售容量超过 87GB 的数据库 Collection #1 为闻名,其中包含了 7.73 亿电子邮件地址和 2122 万个唯一密码。但该数据库并不是近期泄露的,而是几年前泄露用户账号信息整理而来。Sanix 在接受采访时承认了这一点,表示手中还有较新的泄露账号信息,总容量超过 4TB。Sanix 不是什么犯罪大师,他留下了很多线索可以跟踪到其真实身份。在被捕前,网上记录显示他在忙碌在兜售窃取的各种用户信息数据库。Media
https://www.solidot.org/story?sid=64430
Coinbase 宣布成为远程优先的企业
数字货币公司 Coinbase 的联合创始人兼 CEO Brian Armstrong 宣布 Coinbase 将拥抱远程优先。在新冠疫情结束社会隔离政策终止之后,绝大部分工作岗位将提供在办公室办公和远程办公的选择,无法或不想要远程办公室的人可以继续去办公室。他称所有人都需要在心态和行为上做出改变,需要确保雇员在办公室和远程办公的体验相同。他表示,远程办公的一大优势是可以在世界各地招募到优秀的人才,不再局限于当地。Media
https://www.solidot.org/story?sid=64431
数字货币公司 Coinbase 的联合创始人兼 CEO Brian Armstrong 宣布 Coinbase 将拥抱远程优先。在新冠疫情结束社会隔离政策终止之后,绝大部分工作岗位将提供在办公室办公和远程办公的选择,无法或不想要远程办公室的人可以继续去办公室。他称所有人都需要在心态和行为上做出改变,需要确保雇员在办公室和远程办公的体验相同。他表示,远程办公的一大优势是可以在世界各地招募到优秀的人才,不再局限于当地。Media
https://www.solidot.org/story?sid=64431
人工眼未来有望胜过人眼
香港科技大学的研究人员在《自然》期刊上发表论文,报告了人工仿生眼的最新进展。 科学家尚未能实现使用仿生器官重建人体,但人工仿生眼正向我们走来。香港科技大学的材料科学家范智勇和同事设计出一种半球形的人工视网膜包含了紧密排布的钙钛矿光敏纳米线,模仿人眼的光感受器。研究人员通过重建投射到该装置上的光学模式,展示了新仿生装置的图像传感功能。结果发现,这种装置可以通过重构人工眼观察到的图片“看见”对象。仿生眼对光的响应比人眼更快,能在 30-40 毫秒内记录下光,能探测到暗光,100 度视的野低于人眼的 150 度。在理论上,放生眼能比人眼感知更高的分辨率。目前研究人员开发出的概念验证原型只能创造 100 像素的图像。Media
https://www.solidot.org/story?sid=64432
香港科技大学的研究人员在《自然》期刊上发表论文,报告了人工仿生眼的最新进展。 科学家尚未能实现使用仿生器官重建人体,但人工仿生眼正向我们走来。香港科技大学的材料科学家范智勇和同事设计出一种半球形的人工视网膜包含了紧密排布的钙钛矿光敏纳米线,模仿人眼的光感受器。研究人员通过重建投射到该装置上的光学模式,展示了新仿生装置的图像传感功能。结果发现,这种装置可以通过重构人工眼观察到的图片“看见”对象。仿生眼对光的响应比人眼更快,能在 30-40 毫秒内记录下光,能探测到暗光,100 度视的野低于人眼的 150 度。在理论上,放生眼能比人眼感知更高的分辨率。目前研究人员开发出的概念验证原型只能创造 100 像素的图像。Media
https://www.solidot.org/story?sid=64432
基因分析揭示新冠的不同类型
美国德雷塞尔大学的研究团队将基因组变异的差异作为“指纹”对病毒进行分类,发现了 17 种类型。随着全球感染者不断增加,变异的速度也在加快。新冠病毒目前主要分为“中国型”、“欧洲型”、“美国型”,分别在不同的地区发生暴发性感染。中国型的病毒 1 月中旬就开始从武汉向全世界扩散。变异后的欧洲型被认为 1 月下旬至 2 月上旬通过旅游者扩散到欧洲各国。随后,病毒在不断变异的同时,用 3~5 周时间跨越了国界。在美国,有报告称纽约州以欧洲型为主,而其他州则大都是变异后的美国型。美国型被认为是由包括中国型在内的各种类型的病毒进入美国,然后在感染者体内产生。Media
https://www.solidot.org/story?sid=64433
美国德雷塞尔大学的研究团队将基因组变异的差异作为“指纹”对病毒进行分类,发现了 17 种类型。随着全球感染者不断增加,变异的速度也在加快。新冠病毒目前主要分为“中国型”、“欧洲型”、“美国型”,分别在不同的地区发生暴发性感染。中国型的病毒 1 月中旬就开始从武汉向全世界扩散。变异后的欧洲型被认为 1 月下旬至 2 月上旬通过旅游者扩散到欧洲各国。随后,病毒在不断变异的同时,用 3~5 周时间跨越了国界。在美国,有报告称纽约州以欧洲型为主,而其他州则大都是变异后的美国型。美国型被认为是由包括中国型在内的各种类型的病毒进入美国,然后在感染者体内产生。Media
https://www.solidot.org/story?sid=64433
英特尔第十代酷睿处理器 Comet Lake-S 发布
英特尔的第十代酷睿处理器 Comet Lake-S 正式发布,主要科技网站的评测解禁,结果显示 Comet Lake-S 单线程性能出色,但代价是功耗爆炸,用户需要更好更昂贵的冷却系统。大约十年前,AMD 为了追赶英特尔而不断的提升其处理器的主频,带来的一个后果是功耗大增,而性能因为架构劣势也未能如意。现在情况反过来了,英特尔为了追赶 AMD 而大幅提升其处理器频率,功耗爆增,但芯片巨人毕竟是巨人,新一代处理器至少在单线程上仍然相比 AMD 有优势。Comet Lake 被称为是第十代酷睿,但在设计上它其实是第六代 Skylake,Skylake++++ 采用了 14++ 纳米工艺技术,至于它是否是英特尔的最后一代 14 纳米芯片,明年 10 纳米或 7 纳米工艺桌面芯片是否能及时大规模投产仍然存在很多疑问。Comet Lake 处理器最高有 10 个核心,频率最高能达到 5.3 GHz(两个核心不是所有核心)。与 AMD 的同等产品相比,英特尔的价格依旧更高,核心数更少,它不太会是注重性价比的用户首选,但其品牌在普通用户中间仍然有着巨大的惯性和影响力。Media
https://www.solidot.org/story?sid=64434
英特尔的第十代酷睿处理器 Comet Lake-S 正式发布,主要科技网站的评测解禁,结果显示 Comet Lake-S 单线程性能出色,但代价是功耗爆炸,用户需要更好更昂贵的冷却系统。大约十年前,AMD 为了追赶英特尔而不断的提升其处理器的主频,带来的一个后果是功耗大增,而性能因为架构劣势也未能如意。现在情况反过来了,英特尔为了追赶 AMD 而大幅提升其处理器频率,功耗爆增,但芯片巨人毕竟是巨人,新一代处理器至少在单线程上仍然相比 AMD 有优势。Comet Lake 被称为是第十代酷睿,但在设计上它其实是第六代 Skylake,Skylake++++ 采用了 14++ 纳米工艺技术,至于它是否是英特尔的最后一代 14 纳米芯片,明年 10 纳米或 7 纳米工艺桌面芯片是否能及时大规模投产仍然存在很多疑问。Comet Lake 处理器最高有 10 个核心,频率最高能达到 5.3 GHz(两个核心不是所有核心)。与 AMD 的同等产品相比,英特尔的价格依旧更高,核心数更少,它不太会是注重性价比的用户首选,但其品牌在普通用户中间仍然有着巨大的惯性和影响力。Media
https://www.solidot.org/story?sid=64434
冷战卫星无意间跟踪到物种减少
苏联在 1957 年发射了它的第一颗人造卫星,美国随后启动了它的代号为 Corona 的间谍卫星计划,寻找苏联的导弹发射位置。但美国的间谍卫星还在无意间捕捉到了其它东西。科学家利用这些冷战期间拍摄的卫星照片去跟踪缺乏历史记录的地区的物种数量变化。研究人员对生活在哈萨克斯坦草原的草原旱獭(bobak marmot)测试了这种方法。苏联在 1960 年代将当地数百万公顷草原改造成了农田。研究人员利用黑白卫星照片识别了 5000 多个旱獭居住地,与当地的现代数字图像进行对比,绘制了 1.2 万多个旱獭洞穴。研究人员发现,1960 年代以来旱獭洞穴数量下降了 14%,在改造成农田的地方下降了多达 60%。研究报告发表在《Proceedings of the Royal Society B》期刊上。Media
https://www.solidot.org/story?sid=64435
苏联在 1957 年发射了它的第一颗人造卫星,美国随后启动了它的代号为 Corona 的间谍卫星计划,寻找苏联的导弹发射位置。但美国的间谍卫星还在无意间捕捉到了其它东西。科学家利用这些冷战期间拍摄的卫星照片去跟踪缺乏历史记录的地区的物种数量变化。研究人员对生活在哈萨克斯坦草原的草原旱獭(bobak marmot)测试了这种方法。苏联在 1960 年代将当地数百万公顷草原改造成了农田。研究人员利用黑白卫星照片识别了 5000 多个旱獭居住地,与当地的现代数字图像进行对比,绘制了 1.2 万多个旱獭洞穴。研究人员发现,1960 年代以来旱獭洞穴数量下降了 14%,在改造成农田的地方下降了多达 60%。研究报告发表在《Proceedings of the Royal Society B》期刊上。Media
https://www.solidot.org/story?sid=64435
SpaceX 给 NASA 带来了巨大效益但也带来了风险
5 月 27 日,自 2011 年航天飞机退役以来 NASA 将首次在美国的领土上使用美国制造的火箭将美国宇航员送往国际空间站。宇航员搭乘的不是 NASA 的火箭和飞船,而是私人太空公司 SpaceX 的 Dragon 2 飞船和 Falcon 9 火箭。过去十年,SpaceX 成为了太空发射市场的佼佼者,处理了三分之二的 NASA 发射任务,其 6200 万美元的发射费用是竞争对手联合发射联盟 ULA 的大约一半。对于 SpaceX 日益增长的实力,研究人员认为效益和风险并存。通过可重复使用它降低了太空飞行的成本,为 NASA 节省了费用。但作为一家热衷冒险的硅谷公司,SpaceX 忽视了其技术可能带来的问题。有人担心它可能危及 NASA 注重安全的文化。Media
https://www.solidot.org/story?sid=64436
5 月 27 日,自 2011 年航天飞机退役以来 NASA 将首次在美国的领土上使用美国制造的火箭将美国宇航员送往国际空间站。宇航员搭乘的不是 NASA 的火箭和飞船,而是私人太空公司 SpaceX 的 Dragon 2 飞船和 Falcon 9 火箭。过去十年,SpaceX 成为了太空发射市场的佼佼者,处理了三分之二的 NASA 发射任务,其 6200 万美元的发射费用是竞争对手联合发射联盟 ULA 的大约一半。对于 SpaceX 日益增长的实力,研究人员认为效益和风险并存。通过可重复使用它降低了太空飞行的成本,为 NASA 节省了费用。但作为一家热衷冒险的硅谷公司,SpaceX 忽视了其技术可能带来的问题。有人担心它可能危及 NASA 注重安全的文化。Media
https://www.solidot.org/story?sid=64436
百度考虑在香港二次上市
百度考虑在香港二次上市。目前美国立法者倾向于收紧针对在纽约上市的中国公司的规则。百度 CEO 李彦宏表示,对于公司股票无法在纽约交易的前景,他的公司并不担心。“我们确实很关注美国从政府层面在不断收紧对中概股公司的管制。我们内部在不断地研讨有哪些可以做的事情,包括在香港等地的二次上市。”“我觉得根本的判断还是,如果是一个好的公司,上市的选择地其实是非常多的,并不局限于美国。所以我们没有那么担心美国政府的打压会对公司业务产生不可挽回的影响。”由美国两党共同支持的《外国公司问责法》要求任何一家连续 3 年没有达到 PCAOB 审计要求的公司从美国交易所退市。法案还要求外国公司披露他们是否由政府拥有或控制。路透社周四报道称,百度正考虑从纳斯达克退市,并在距离本土市场更近的交易所上市,以提振其估值。百度表示“公司对市场传言不予置评”。Media
https://www.solidot.org/story?sid=64437
百度考虑在香港二次上市。目前美国立法者倾向于收紧针对在纽约上市的中国公司的规则。百度 CEO 李彦宏表示,对于公司股票无法在纽约交易的前景,他的公司并不担心。“我们确实很关注美国从政府层面在不断收紧对中概股公司的管制。我们内部在不断地研讨有哪些可以做的事情,包括在香港等地的二次上市。”“我觉得根本的判断还是,如果是一个好的公司,上市的选择地其实是非常多的,并不局限于美国。所以我们没有那么担心美国政府的打压会对公司业务产生不可挽回的影响。”由美国两党共同支持的《外国公司问责法》要求任何一家连续 3 年没有达到 PCAOB 审计要求的公司从美国交易所退市。法案还要求外国公司披露他们是否由政府拥有或控制。路透社周四报道称,百度正考虑从纳斯达克退市,并在距离本土市场更近的交易所上市,以提振其估值。百度表示“公司对市场传言不予置评”。Media
https://www.solidot.org/story?sid=64437
Xbox 和 Windows NT 3.5 源代码泄露
微软初代 Xbox 主机和 Windows NT 3.5 的源代码被泄露到网上,其真实性已得到确认,微软发言人表示正对此展开调查。初代 Xbox 主机的源代码包括了部分构建环境,Xbox Development Kit,用于测试的模拟器以及内部文档。Xbox 内核和源代码之前已私下在爱好者之间流传,它的公开对进一步发展 Xbox 游戏模拟器帮助不大。Windows NT 3.5 的源代码包括了所有必要的构建工具,Windows NT 3.5 早在 2001 年 12 月就已经结束支持,源代码泄露不会构成严重的安全问题。Media
https://www.solidot.org/story?sid=64438
微软初代 Xbox 主机和 Windows NT 3.5 的源代码被泄露到网上,其真实性已得到确认,微软发言人表示正对此展开调查。初代 Xbox 主机的源代码包括了部分构建环境,Xbox Development Kit,用于测试的模拟器以及内部文档。Xbox 内核和源代码之前已私下在爱好者之间流传,它的公开对进一步发展 Xbox 游戏模拟器帮助不大。Windows NT 3.5 的源代码包括了所有必要的构建工具,Windows NT 3.5 早在 2001 年 12 月就已经结束支持,源代码泄露不会构成严重的安全问题。Media
https://www.solidot.org/story?sid=64438
GNOME 基金会与 Rothschild 和解专利纠纷
去年 9 月,Rothschild Patent Imaging LLC 的公司对 GNOME 基金会提起了专利侵权诉讼,指控 GNOME 桌面环境项目中的一个组件 Shotwell 照片管理器侵犯了它的专利“Wireless image distribution system and method ”。该专利最早是在 2008 年申请的,描述了无线连接图像捕捉设备和接收设备的系统和方法。现在,GNOME 与 Rothschild 达成和解,Rothschild 并承诺不再对 GNOME 提起任何专利诉讼。此外,Rothschild Patent Imaging 和 Leigh Rothschild 的专利免除和承诺覆盖了在开源促进会批准的所有开源许可证下发布的软件。Media
https://www.solidot.org/story?sid=64439
去年 9 月,Rothschild Patent Imaging LLC 的公司对 GNOME 基金会提起了专利侵权诉讼,指控 GNOME 桌面环境项目中的一个组件 Shotwell 照片管理器侵犯了它的专利“Wireless image distribution system and method ”。该专利最早是在 2008 年申请的,描述了无线连接图像捕捉设备和接收设备的系统和方法。现在,GNOME 与 Rothschild 达成和解,Rothschild 并承诺不再对 GNOME 提起任何专利诉讼。此外,Rothschild Patent Imaging 和 Leigh Rothschild 的专利免除和承诺覆盖了在开源促进会批准的所有开源许可证下发布的软件。Media
https://www.solidot.org/story?sid=64439
全球新冠感染人数超过 500 万
根据约翰霍普金斯大学的数据,全球新冠确诊病例突破了 500 万至 510 万,其中美国 157.9 万,俄罗斯 31.7 万,巴西 31 万,英国 25.2 万,西班牙 23.3 万,意大利 22.8 万,法国 18.1 万,德国 17.9 万...新冠导致的死亡病例突破了 33.2 万,其中美国超过 9 万。尽管每周平均死亡人数一直在下降,但过去一周全球每天平均新增的病例数超过 9.1 万例,高于以往任何时候。Media
https://www.solidot.org/story?sid=64440
根据约翰霍普金斯大学的数据,全球新冠确诊病例突破了 500 万至 510 万,其中美国 157.9 万,俄罗斯 31.7 万,巴西 31 万,英国 25.2 万,西班牙 23.3 万,意大利 22.8 万,法国 18.1 万,德国 17.9 万...新冠导致的死亡病例突破了 33.2 万,其中美国超过 9 万。尽管每周平均死亡人数一直在下降,但过去一周全球每天平均新增的病例数超过 9.1 万例,高于以往任何时候。Media
https://www.solidot.org/story?sid=64440
雀巢将在中国上市人造肉
世界最大食品企业瑞士雀巢宣布扩建中国天津市的工厂,在亚洲首次启动基于植物的“人造肉”的生产。中国因家畜传染病影响,猪肉产量减少,同时受新型冠状病毒疫情的影响,预计肉类进口量减少。雀巢着眼人造肉的需求增加,将加快市场开拓步伐,“计划在 2020 年底之前上市(肉等)植物基产品”。中国在猪肉消费量上占到世界的一半左右。2018 年后因非洲猪瘟蔓延,猪饲养头数比两年前减少了约两成。这种肉类供给短缺的状况也有望推动人造肉的需求扩大。Media
https://www.solidot.org/story?sid=64441
世界最大食品企业瑞士雀巢宣布扩建中国天津市的工厂,在亚洲首次启动基于植物的“人造肉”的生产。中国因家畜传染病影响,猪肉产量减少,同时受新型冠状病毒疫情的影响,预计肉类进口量减少。雀巢着眼人造肉的需求增加,将加快市场开拓步伐,“计划在 2020 年底之前上市(肉等)植物基产品”。中国在猪肉消费量上占到世界的一半左右。2018 年后因非洲猪瘟蔓延,猪饲养头数比两年前减少了约两成。这种肉类供给短缺的状况也有望推动人造肉的需求扩大。Media
https://www.solidot.org/story?sid=64441
华为试图利用竞争对手的芯片应对美国禁令
日经报道,为了维持其消费者电子业务,华为正与竞争对手联发科和紫光展锐协商采购其芯片。联发科是第二大移动芯片开发商,而紫光展锐则是华为海思之后第二大中国移动芯片设计公司。因美国的出口管制新规,向华为出口使用到美国技术的芯片需要获得许可证。华为最主要的芯片代工合作伙伴台积电已经暂停接收华为的订单。华为现有的手机芯片消耗光之后,它如何能继续维持其手机业务?华为目前的计划是采购竞争对手的芯片。据报道,华为移动芯片库存能维持到今年年底。如果芯片供应问题没有解决,华为面临的真正挑战将在第四季度发生。如果华为使用来自联发科和紫光展锐的中低端手机芯片,那么它的高端手机产品在日益竞争的市场中将面临劣势。Media
https://www.solidot.org/story?sid=64442
日经报道,为了维持其消费者电子业务,华为正与竞争对手联发科和紫光展锐协商采购其芯片。联发科是第二大移动芯片开发商,而紫光展锐则是华为海思之后第二大中国移动芯片设计公司。因美国的出口管制新规,向华为出口使用到美国技术的芯片需要获得许可证。华为最主要的芯片代工合作伙伴台积电已经暂停接收华为的订单。华为现有的手机芯片消耗光之后,它如何能继续维持其手机业务?华为目前的计划是采购竞争对手的芯片。据报道,华为移动芯片库存能维持到今年年底。如果芯片供应问题没有解决,华为面临的真正挑战将在第四季度发生。如果华为使用来自联发科和紫光展锐的中低端手机芯片,那么它的高端手机产品在日益竞争的市场中将面临劣势。Media
https://www.solidot.org/story?sid=64442
DNS 解析程序漏洞允许攻击者发动拒绝服务攻击
DNS 解析程序的一个漏洞允许攻击者通过封包放大创造拒绝服务条件。该漏洞被称为 NXNSAttack。攻击者滥用了 DNS 委托机制,它发送的委托只包含权威 DNS 服务器的名字但不包含其 IP 地址。DNS 解析程序不能向“名字”发送域名查询,因此解析器首先需要获得权威 DNS 服务器的 IPv4 或 IPv6 地址,之后才能继续查询域名。NXNSAttack 就是基于这一原理,攻击者发送的委托包含了假的权威服务器名字,指向受害者的 DNS 服务器,迫使解析程序对受害者的 DNS 服务器生成查询。一次查询会被放大数十次乃至数百次,对受害者服务器发动了拒绝服务攻击。众多 DNS 软件都受到影响,其中包括 ISC BIND (CVE-2020-8616)、NLnet labs Unbound (CVE-2020-12662)、PowerDNS (CVE-2020-10995)、 CZ.NIC Knot Resolver (CVE-2020-12667)、Cloudflare、Google、Amazon、Microsoft、Oracle(DYN)、Verisign、IBM Quad9 和 ICANN。细节可查阅论文。Media
https://www.solidot.org/story?sid=64443
DNS 解析程序的一个漏洞允许攻击者通过封包放大创造拒绝服务条件。该漏洞被称为 NXNSAttack。攻击者滥用了 DNS 委托机制,它发送的委托只包含权威 DNS 服务器的名字但不包含其 IP 地址。DNS 解析程序不能向“名字”发送域名查询,因此解析器首先需要获得权威 DNS 服务器的 IPv4 或 IPv6 地址,之后才能继续查询域名。NXNSAttack 就是基于这一原理,攻击者发送的委托包含了假的权威服务器名字,指向受害者的 DNS 服务器,迫使解析程序对受害者的 DNS 服务器生成查询。一次查询会被放大数十次乃至数百次,对受害者服务器发动了拒绝服务攻击。众多 DNS 软件都受到影响,其中包括 ISC BIND (CVE-2020-8616)、NLnet labs Unbound (CVE-2020-12662)、PowerDNS (CVE-2020-10995)、 CZ.NIC Knot Resolver (CVE-2020-12667)、Cloudflare、Google、Amazon、Microsoft、Oracle(DYN)、Verisign、IBM Quad9 和 ICANN。细节可查阅论文。Media
https://www.solidot.org/story?sid=64443
微软开源 1983 年的 GW-BASIC
微软在历史参考和教育目的的名义下开源了 1983 年的 GW-BASIC,源代码托管在 GitHub 上,采用 MIT 许可证。微软高级项目经理 Rich Turner 表示他们不接受修改任何代码的 PR 请求。GW-BASIC 是源自 IBM Advanced BASIC/BASICA 的 BASIC 解释器,而后者则是 Microsoft BASIC 的移植。微软不同的 BASIC 实现都可以上溯到比尔盖茨和保罗艾伦完成的微软首个产品:Altair 8800 BASIC 解释器。和 70/80 年代的众多软件一样,GW-BASIC 的源代码是百分之百得汇编语言。Media
https://www.solidot.org/story?sid=64444
微软在历史参考和教育目的的名义下开源了 1983 年的 GW-BASIC,源代码托管在 GitHub 上,采用 MIT 许可证。微软高级项目经理 Rich Turner 表示他们不接受修改任何代码的 PR 请求。GW-BASIC 是源自 IBM Advanced BASIC/BASICA 的 BASIC 解释器,而后者则是 Microsoft BASIC 的移植。微软不同的 BASIC 实现都可以上溯到比尔盖茨和保罗艾伦完成的微软首个产品:Altair 8800 BASIC 解释器。和 70/80 年代的众多软件一样,GW-BASIC 的源代码是百分之百得汇编语言。Media
https://www.solidot.org/story?sid=64444
开源软件供应链攻击
德国和法国的研究人员在预印本网站 arXiv 上发表论文(PDF),分析了过去几年发生的开源软件供应链攻击。软件供应链攻击有两类:其一是在软件产品中植入恶意代码去感染终端用户,此类攻击的一个著名例子是发生在乌克兰的 NotPetya 勒索软件攻击,攻击者入侵了乌克兰流行会计软件的更新服务器释出了恶意更新,这次攻击造成了数十亿美元的损失,是已知最具破坏性的网络攻击之一。另一个例子是 CCleaner 的恶意版本通过官网传播给终端用户,它在长达一个多月时间里被下载了 230 万次。另一类软件供应链攻击是向软件产品的依赖包植入恶意代码。随着开源软件开发模式的流行,此类的攻击日益常见。研究人员分析了 npm、PyPI 和 RubyGems 软件包管理系统发现的 174 个恶意依赖包,他们发现 56% 的软件包在安装时触发恶意行为,41% 使用额外的条件去判断是否运行。61% 的恶意软件包利用了名字相似性向开源生态系统植入恶意包。攻击者的主要目的是析取数据。Media
https://www.solidot.org/story?sid=64445
德国和法国的研究人员在预印本网站 arXiv 上发表论文(PDF),分析了过去几年发生的开源软件供应链攻击。软件供应链攻击有两类:其一是在软件产品中植入恶意代码去感染终端用户,此类攻击的一个著名例子是发生在乌克兰的 NotPetya 勒索软件攻击,攻击者入侵了乌克兰流行会计软件的更新服务器释出了恶意更新,这次攻击造成了数十亿美元的损失,是已知最具破坏性的网络攻击之一。另一个例子是 CCleaner 的恶意版本通过官网传播给终端用户,它在长达一个多月时间里被下载了 230 万次。另一类软件供应链攻击是向软件产品的依赖包植入恶意代码。随着开源软件开发模式的流行,此类的攻击日益常见。研究人员分析了 npm、PyPI 和 RubyGems 软件包管理系统发现的 174 个恶意依赖包,他们发现 56% 的软件包在安装时触发恶意行为,41% 使用额外的条件去判断是否运行。61% 的恶意软件包利用了名字相似性向开源生态系统植入恶意包。攻击者的主要目的是析取数据。Media
https://www.solidot.org/story?sid=64445
中国黑客组织入侵网游开发商
上个月安全公司 QuoIntelligence 报告,中国黑客组织 Winnti (aka APT41、BARIUM、Blackfly)尝试入侵《仙境传说》开发商韩国重力社的内部网络。Winnti 被认为是恶意版 CCleaner 的幕后攻击者。安全公司 ESET 本周四披露了 Winnti 对网游公司发动攻击的更多细节。安全研究人员称,Winnti 攻击了韩国和台湾的多个热门网游开发商,在其中一个案例中,攻击者入侵了受害者的构建系统,发动了供应链攻击,将游戏可执行文件变成了木马。在另一个案例中,攻击者入侵了游戏服务器,操纵游戏内虚拟货币以获得经济利益。在 2018 年的一次攻击中, Winnti 窃取了 Nfinity Games 的软件证书,该证书直到 ESET 警告其滥用之后才被撤销。Media
https://www.solidot.org/story?sid=64446
上个月安全公司 QuoIntelligence 报告,中国黑客组织 Winnti (aka APT41、BARIUM、Blackfly)尝试入侵《仙境传说》开发商韩国重力社的内部网络。Winnti 被认为是恶意版 CCleaner 的幕后攻击者。安全公司 ESET 本周四披露了 Winnti 对网游公司发动攻击的更多细节。安全研究人员称,Winnti 攻击了韩国和台湾的多个热门网游开发商,在其中一个案例中,攻击者入侵了受害者的构建系统,发动了供应链攻击,将游戏可执行文件变成了木马。在另一个案例中,攻击者入侵了游戏服务器,操纵游戏内虚拟货币以获得经济利益。在 2018 年的一次攻击中, Winnti 窃取了 Nfinity Games 的软件证书,该证书直到 ESET 警告其滥用之后才被撤销。Media
https://www.solidot.org/story?sid=64446
三星手机因锁屏 APP 闰月 bug 无限重启
三星手机用户通过社交网络如微博和贴吧报告他们的手机出现了乱码、黑屏和无限重启等故障。问题被认为是锁屏 APP 闰月 bug 导致,5 月 23 日是农历闰四月初一,旧版本的三星锁屏 APP的农历显示存在 bug,导致了系统崩溃。更新到新版本的用户报告没有出现问题。很多用户还报告他们手机上的数据也因为这一 bug 丢失了。Media
https://www.solidot.org/story?sid=64447
三星手机用户通过社交网络如微博和贴吧报告他们的手机出现了乱码、黑屏和无限重启等故障。问题被认为是锁屏 APP 闰月 bug 导致,5 月 23 日是农历闰四月初一,旧版本的三星锁屏 APP的农历显示存在 bug,导致了系统崩溃。更新到新版本的用户报告没有出现问题。很多用户还报告他们手机上的数据也因为这一 bug 丢失了。Media
https://www.solidot.org/story?sid=64447