iDOS 2 模拟器收到苹果商店的下架通知

iDOS 2 允许用户在 iPhone 或 iPad 设备上运行几十年前的 DOS 游戏和软件。但据开发者所述，苹果正要求其作出改变，否则将下架这款模拟器。苹果说，该应用安装或启动了 App Store 不允许的可执行代码。受苹果对于捆绑游戏文件的限制，开发者曾被迫四年没有更新过 iDOS 2。目前苹果要求 iDOS 2 在 14 天内整改，以剔除该应用能够运行可执行代码的能力。但这么一来，也无异于让 iDOS 2 自废武功。

这就是封闭系统的问题，他们会封杀一切他们认为可能带来威胁的东西。

Keseya 已获得 REvil 勒索软件的通用解密器

利用 Kaseya VSA 远程管理软件漏洞开展的大规模勒索软件攻击，受该事件影响的设备数量达到了百万级。勒索团伙 Revil 在各方的联合打击下从暗网上消失，但这也意味着受害者缺乏被加密数据的解锁秘钥。

不过，Kaseya 现已从“受信任的第三方”那里拿到了通用解密密钥，使得受害者有机会重新获得相关数据的访问权，而无需支付任何赎金。Kaseya 表示不能披露其来源信息，至于是否向勒索软件团伙支付了赎金，Kaseya 既没承认也没否认。

Kaseya 总算是解决了这个问题，但是如何保证下一次呢？

16 年前的惠普打印机驱动程序漏洞影响了数亿台 Windows

研究人员公布了惠普打印机驱动程序（三星和施乐也在使用）中一个高严重性的特权升级缺陷的技术细节，该缺陷影响到数亿台 Windows 机器。如果被利用，网络攻击者可以绕过安全产品；查看、改变、加密或删除数据；或创建具有更广泛用户权限的新账户。这个漏洞已经在系统中潜伏了 16 年，但今年才被发现。它在 CVSS 量表上的评分为 8.8（满分 10 分），属于高严重度。

据分析，该漏洞存在于驱动程序内部的一个函数中，这个函数使用strncpy 从用户输入复制一个字符串，其大小参数由用户控制。

这就是典型的缓冲区溢出，这是早些年非常流行的安全缺陷，如果采用 Rust，就不会有这样的问题。

谷歌的推送更新少了一个 & 字符，致使 Chrome OS 设备无法登录

谷歌称，本周短暂推出的 Chrome OS 版本，使用户无法登录他们的设备。Chrome OS 会自动下载更新，并在重启后切换到新版本，因此重启设备的用户会突然被锁定。受该更新影响的用户可以等待设备再次更新。

由于 Chrome OS 是开源的，所以我们可以得到更多关于修复的细节。根据分析，在操作系统中保存用户加密密钥的部分，谷歌在更新中弄错了一个条件语句，在应该使用逻辑与运算符 && 的地方少了一个 &，变成了位运算符 &，从而破坏了条件语句的后半部分。由于这个错误，用户无法验证其密码。

这明显是程序员手误，但这么严重的错误，是如何进入产品渠道的推送的？

奇亚硬盘矿大热让希捷 6 年来单季营收首次冲上 30 亿

今年异军突起的奇亚硬盘矿给硬盘市场带来变数，尽管现在的价格不到之前高峰期的 20%，但它还是给硬盘厂商带来了一波红利：希捷 Q4 财季营收突破 30 亿美元，同比大涨 20%。希捷出货的硬盘总容量 152EB，同比增长 30%，其中 80% 的份额都是大容量硬盘市场贡献的。

硬盘挖矿本身是否有价值先不说，硬盘厂商倒是吃饱了。这就和加密货币让显卡厂商赚的盆满钵满一样。

MITRE 更新 25 个最危险的软件漏洞名单

MITRE 发布了 2021 年最危险的 25 个软件弱点榜单：CWE Top 25。CWE 团队利用了美国国家漏洞数据库（NVD）中的常见漏洞和暴露（CVE）数据，以及与每个 CVE 记录相关的通用漏洞评分系统分数。在这些数据中应用了一个公式，根据普遍性和严重性对每个弱点进行评分。

感觉这两年危险的安全漏洞越来越多了。

安全黑市中出售的一半以上的漏洞是针对微软产品的

一项新研究表明，地下网络犯罪论坛上出售的漏洞有 51% 是针对微软产品的。微软 Office 的漏洞占 23%，而 Windows 占黑客论坛上出售的漏洞的 12%。远程桌面协议（RDP）的漏洞占 10%。

所谓树大招风，公平的讲，其实 Linux 并不比 Windows 更安全，只是 Windows 影响面更大而已。

黑客团伙利用 SSH 暴力入侵来挖矿和 DDoS 攻击

据报告，从 2020 年开始活跃的一个黑客团伙正使用此前从未被记录的 SSH 暴力破解器（使用 Golang 编写），对使用 Linux 的设备发起加密劫持活动。在成功入侵之后，就会部署门罗币恶意挖矿软件。除了部署恶意程序用于挖矿之外，该团伙还连接了至少 2 个 DDoS 僵尸网络。

比较嘲讽的是，很多人使用 SSH 服务看似提供了安全连接，但是 SSH 本身并没有保护好。

谷歌正在测试基于机器学习的 DDoS 攻击防御功能

谷歌曾经历让人咋舌的大型 DDoS 攻击。比如 2017 年的那一次，就曾创下了 2.56 Tbps 的纪录。去年 11 月，谷歌推出了 Cloud Armor 自适应防护功能，并作为其 DDoS 防御和 Web 应用程序防火墙服务的一部分，为客户提供基于相同技术的防护。该技术在底层使用了机器学习模型，来分析网络服务中的信号是否存在潜在的攻击。

将机器学习用到这方面是一个好的方向，单纯按人工规则拼已经落后了。

特斯拉投资比特币的 15 亿美元账面收益再次化为乌有

根据 CoinDesk 的数据，7 月 20 日，比特币的价格再度跌至 29600 美元，在 24 小时内下跌超过 5%。自 4 月中旬创下近 65000 美元的历史新高以来，其价格已暴跌了 50% 以上。比特币今年以来上涨了 1.87%。

今年 2 月，特斯拉宣布投资 15 亿美元购买比特币，平均价格为 32600 美元。截至一季度末，特斯拉在比特币上账面收益总计为 14.51 亿美元。6 月 22 日，比特币一度跌至 28900 美元，使特斯拉的比特币投资的账面亏损达 1.33 亿美元。7 月 20 日，比特币的价格再度跌至 29600 美元后，如果特斯拉今天卖掉这些比特币，其 15 亿美元的投资也只能做到盈亏相抵。

你猜马一龙会不会马上抛售比特币呢？

Gmail 启用 BIMI 安全功能

邮件认证品牌标识（BIMI）是一项行业标准，旨在为电子邮件生态系统带来更强大的发件人身份验证。认证品牌标识的设计是当一个组织向你发送使用 DMARC 标准认证的电子邮件时，该组织的标志将显示在你的收件箱中。使用发件人政策框架（SPF）或域密钥识别邮件（DKIM）认证其电子邮件并部署 DMARC 的组织可以通过验证标记证书（VMC）向谷歌提供其验证的商标标识。

这只是使 DMARC 更用户友好而已，本质上还是依靠 DMARC 的机制。

存在 6 年的 systemd 安全漏洞被披露

Qualys 发现了一个新的 systemd 安全漏洞，使任何非特权的用户能够通过内核恐慌造成拒绝服务。几乎所有现代 Linux 发行版都使用 systemd。这个特殊的安全漏洞于 2015 年 4 月出现在 systemd 代码中。这种攻击可以由本地攻击者在很长的路径上挂载一个文件系统来实现。这将导致 systemd 堆栈中使用过多的内存空间，从而导致系统崩溃。systemd 的开发者已经修补了这个漏洞。

这是一个严重的安全漏洞，请尽快注意并升级。

iPhone 被曝不安全：不点击链接也有可能被入侵

一般来说，如果信息中出现未知链接或者钓鱼链接，不要点击就会很安全，但这样做对以色列 NSO Group 公司并不适用。报告发现，iPhone 如果感染 NSO Group 的恶意软件，攻击者就能窃取信息和邮件，甚至可以控制手机麦克风摄像头。NSO Group 的软件可以用苹果不知道的方法窃取数据，即使 iPhone 软件保持在最新状态，如运行 iOS 14.6 系统的 iPhone 12。

这才是专业“黑客”，简直是间谍手段。

哈勃望远镜在经历了一个月的技术问题后恢复科学操作

NASA 已经成功地重新启动了哈勃太空望远镜，此前该望远镜因技术老化而暂停科学操作一个月。6月13日，哈勃望远镜的有效载荷计算机崩溃了，它自动暂停了科学运行，并将望远镜的仪器置于安全模式。重新启动也未能使其恢复操作。最终，NASA 确定，故障在于监控电源控制单元内电压水平的调节电路。通过切换到备用组件，开启了备用有效载荷计算机，并为其加载飞行软件。再经过一些测试和校准，科学操作终于得以恢复。

这么老的计算机居然还能继续修复好并正常工作，简直是奇迹了。

Canonical 通过了新冠疫情考验，反而扭亏为盈

早在新冠疫情之前，Ubuntu 的发行商 Canonical 就已经拥有一支分布式的全球员工队伍。于是在 Linux 生态持续蓬勃发展的大环境下，除了设法从 2019 年的亏损 200 万美元到 2020 年的实现盈利 2000 万美元，Canonical 甚至将员工数增加到了 500 人以上。

一方面，新冠疫情打乱了一些客户的规划，进而导致销售额可能持续下滑。但另一方面，公有云运营商助其实现了营收的稳定。

“Linux 随机数生成器”（LRNG） 已经开发了五年

作为 /dev/random 的新替代品，“Linux 随机数生成器”（LRNG）已经进行了第 41 次修订，对它的开发了已经超过了 5 年。LRNG 是对现有随机数生成器的 API/ABI 兼容的替代品。LRNG 的目标是提高速度，以及其他各种性能优化，各种加密处理的改进，测试能力的提高，选项的更大可配置性，并且是一个更现代的设计。LRNG 是否以及何时可以进入 Linux 主线还有待观察。

看似简单的随机数，其实是计算安全上最重要的基石之一，也可能是这个宇宙最重要的基础之一。

新研究确认 Rust 的安全性

Rust 有两种模式：其默认的安全模式和不安全模式。在其默认的安全模式下，Rust 可以防止内存错误和数据竞争。而在它的不安全模式下允许使用潜在的不安全的 C 风格的函数。验证 Rust 的安全声明的关键挑战是说明其安全和不安全代码之间的互动。

一篇发表在 4 月份的《ACM 通讯》的文章对 Rust 的安全性进行了研究。其共同作者说，“我们能够验证 Rust 类型系统的安全性，从而表明 Rust 是如何自动和可靠地防止这一类编程错误的。”他们开发了一个理论框架，能够证明尽管有可能写出“不安全”的代码，但 Rust 的安全主张仍然成立。他们使用一个叫做 Miri 的工具来自动测试“不安全”的 Rust 代码是否符合 Rust 规范。

“不安全”的代码仍然能保证安全才是 Rust 最有趣的地方。

大量比特币矿工前往美国

美国已经迅速成为比特币挖矿世界的新宠。截至 2021 年 4 月，美国已经占世界所有比特币矿工的近 17%。这比 2020 年 9 月增加了 151%。此外，在中国禁止挖矿后，50 万台以前的中国矿工的矿机正在美国寻找家园。如果他们被部署，这将意味着到 2022 年底，北美将拥有接近 40% 的全球哈希率。多年来，美国一直在悄悄地建立其托管能力。美国也是地球上一些最便宜的能源的所在地，其中许多是可再生能源。大多数搬迁到北美的新矿工将使用可再生能源，或用可再生能源信贷抵消的天然气。

让这些能源消耗和风险去祸害他们去吧，对吧。