硬核老王 发布的文章

中国“九章三号”量子计算机可比最快超算快 200 亿年

据报道,中国最新研制的“九章三号”量子计算机在百万分之一秒内解决了一个超复杂的数学问题,而世界上最快的超级计算机 Frontier 完成同样任务需要 200 多亿年。九章系列量子计算机使用光子作为计算的物理介质,每个光子携带一个量子比特。《物理评论快报》周二发表的一篇论文称,在九章系列量子计算机中,前两代的光子数量分别为 76 个、113 个,在最新的“九章三号”中增加到了 255 个。“九章三号” 原型机还打破了该系列前代产品创下的记录,计算速度提高了一百万倍。

消息来源:SCMP
老王点评:不知道什么时候可以解决具体问题,比如天气预测?

Firefox 即将默认启用原生 Wayland 后端

虽然 Fedora 和 Arch 等 Linux 发行版在默认情况下为 Firefox 启用了原生 Wayland 后端,但上游的 Firefox 仍然没有在其官方版本中启用 Wayland 支持。目前官方版本的 Firefox 是通过 XWayland 来支持 Wayland 环境,但这种情况有望很快改变,Firefox 上游版本即将在不久支持原生 Wayland。Mozilla 正在将他们的测试套件迁移到 Ubuntu 22.04 LTS 上运行,其中包括 Wayland 测试。

消息来源:Phoronix
老王点评:是迁移到 Wayland 困难,还是 Mozilla 投入的人力不够呢?

微软写字板可被用来劫持易受攻击的系统

微软写字板中存在一个信息泄露漏洞,可被利用来窃取 NTLM 哈希值。微软表示,有两种方法可以利用这一漏洞。一种方法是以受攻击用户的身份登录,然后运行一个特制的应用程序,利用该漏洞控制受影响的系统。另一种方法是诱骗受害者打开恶意文件。攻击者必须说服用户点击一个链接,通常是通过电子邮件或即时信息中的诱导链接,然后说服用户打开特制文件。

消息来源:The Register
老王点评:都 2023 年了,写字板居然还是一个安全漏洞。

谷歌正在测试在其主页充满新闻链接

谷歌正在考虑对其主页进行重大改动。上一次我们看到的实验是在页面上填充各种信息卡片,显示天气和股票等信息,但这次新的实验更加关注新闻。与只有谷歌的标志、搜索框和几个按钮的“传统”谷歌主页不同,最新的实验主页上看起来更像谷歌移动应用上的 “谷歌发现” 新闻推送,包括一排排谷歌通过算法检测到你会感兴趣的新闻文章。在新闻推送的右侧,是一堆卡片,内容包括体育比赛比分、股票和天气等。谷歌称这是目前正在印度进行的一项实验。

消息来源:Ars Technica
老王点评:下一步想必就是在这些文章块中插入各种旗帜广告和推广链接了。

密码学专家警告 NSA 在抗量子加密算法中埋入缺陷

美国伊利诺伊大学芝加哥分校的著名密码学家 丹尼尔·伯恩斯坦 Daniel Bernstein 说,美国国家标准与技术研究院(NIST)正在故意掩盖美国国家安全局(NSA)参与开发 “后量子密码学”(PQC)新加密标准的程度。他还认为,NIST 在描述新标准安全性的计算中出现了错误——可能是偶然的,也可能是故意的。NIST 对此予以否认。伯恩斯坦称,NIST 对即将推出的 PQC 标准之一 Kyber512 的计算 “明显错误”,使其看起来比实际更安全。NIST 的 达斯汀·穆迪 Dustin Moody 说:“我们不同意他的分析。这是一个没有科学确定性的问题,聪明人会有不同的看法。”

消息来源:《新科学家》
老王点评:这就是为什么我们要有自己的加密算法和标准的原因。

特斯拉发布 API 正式支持第三方应用程序

特斯拉正式发布了支持第三方应用程序的 API 文档,在此之前,特斯拉的非官方 API 一直处于灰色地带。目前,它主要面向车队管理,但开发者们希望这是创建健康应用生态系统的第一步。简而言之,它将正式支持第三方车队管理应用程序、智能手表集成应用程序等。特斯拉要求从明年开始,所有第三方应用程序都必须通过新的 API,将结束对 REST API 车辆指令端点的支持。

消息来源:Electrek
老王点评:电动汽车越来越智能化了,不过,这也带来了更多风险。支持 API 容易,如何平衡安全和生态才是难点。

Ubuntu 桌面 23.10 ISO 因用户恶意翻译而被召回

在 Ubuntu 23.10 发布数小时后,Canonical 撤下了 ISO,原因是 Ubuntu 桌面的安装程序用户界面的一组特定翻译中发现了恶意贡献者的仇恨言论。Canonical 称,“这些翻译并非 Ubuntu 存档的一部分,我们认为该事件仅涉及部分应用程序所采用的第三方翻译工具提供的翻译。”因此,Canonical 正在努力纠正翻译,重新生成 ISO。涉及的镜像包括 Ubuntu 桌面 23.10 及其每日构建版和 Ubuntu Budgie 23.10。在重新生成之前,目前只能下载 Ubuntu 23.10 的服务器版和 netboot 压缩包。

消息来源:Phoronix
老王点评:十分恶心的行为。仇恨之下,开源也非净土。

欧洲考虑开源 TETRA 紧急服务加密算法

TETRA 是一种地面集群无线电协议,在欧洲、英国等国家用于保障政府机构、执法部门、军队和应急服务组织使用的无线电通信。今年 7 月,荷兰一家安全公司发现了 TETRA 中的 五个漏洞,其中两个被认为是关键漏洞。负责 TETRA 算法的 ETSI 技术委员会称已于去年 10 月修复,并指出 “没有发现任何主动利用运行网络的行为”。但由于该加密算法的专有性质,这使得对应急网络系统进行适当的五重测试变得更加困难,ETSI 也因此遭受到批评。ETSI 正在讨论是否公开这些算法。

消息来源:The Register
老王点评:所有不开源的东西,都是脆弱的,其掩盖的问题可能会更严重。

谷歌直接在搜索栏中生成人工智能图片

谷歌宣布,选择加入其 “搜索生成体验”(SGE)的用户将可以直接在谷歌的搜索栏中创建 AI 图像。SGE 不是从返回的列表中挑选网站,而是生成对用户的自然语言提示的响应。这次的更新是 SGE 的自然延伸,只需返回生成的图片,而不是生成的文本。这些图片是使用谷歌的 Imagen 图片人工智能生成的。

消息来源:Engadget
老王点评:感觉谷歌在生成式 AI 方面的追赶速度有点慢。

震惊!微软发布了一份如何安装 Linux 的教程

微软发布了一份题为《如何下载和安装 Linux》的实用指南,给出了四种可供选择的安装方法:使用 WSL 2、使用本地虚拟机、使用云虚拟机或在裸机上安装。著名科技网站 The Register 认为,这篇教程“确实不差”。当然,我们知道,这实际上还是在推广它的 WSL 2。

消息来源:微软
老王点评:我觉得,就差一个 Microsoft Linux 了。

一位 23 岁的贡献者修复了一个 22 年之久的 Firefox 问题

Firefox 最近修复了一个有 22 年历史的工具栏鼠标提示错误:当鼠标悬浮在工具栏图标上时会展示相关提示,如果此时将浏览器从前台切换到后台,该鼠标提示会仍然留在前台。一位 Firefox 用户注意到了这个讨厌的问题,并发现该问题已经存在了 22 年之久。但由于这个问题很细微,优先度极低,因此一直没有得到修复。于是他决定自己来修复,他知道如何编程,但此前从未向开源项目贡献过代码。通过搜索问题所在和编写代码,他提交了补丁,并在 Mozilla 的工程师帮助下完善了补丁。

消息来源:Ars Technica
老王点评:真的,只要你想,你都可以成为一个开源贡献者,甚至是在 Firefox 这么复杂、重要的项目中。

红帽关闭其安全公告邮件列表

红帽公司上周悄悄宣布关闭 rhsa-announce 邮件列表,不再向该列表发送安全公告通知。这个邮件列表接收 RHEL 和一系列相关产品的安全公告。主要的变化是收件箱中的直接通知将消失,现在这些通知邮件都是付费的,只有付费的红帽客户才能收到提醒。也许庆幸的是,它仍将通过 RSS 订阅源共享信息,这个所有人都可以免费访问,虽然不知道能维持多久。有很多人依赖于邮件列表来保持他们的服务器组件的更新,而不是通过官方推送的软件更新,比如运行自定义和嵌入式发行版的用户。此外,系统管理员们也需要在官方推送补丁之前,提前通过邮件列表等方式获得相关安全信息。

消息来源:The Register
老王点评:希望不是我的错觉,而是电子邮件列表这种形式太古老了。

VBScript 将从 Windows 中删除

微软表示,VBScript 已被弃用,被列在其 Windows 客户端废弃功能列表中。在未来的 Windows 版本中,VBScript 将作为一项可选功能,之后会从 Windows 中删除。VBScript 首次发布于 1996 年,但其早在 2010 年就停止了开发。它是一种脚本语言,曾一度被 Windows 系统管理员广泛用于自动执行任务,直到被 2006 年问世的 PowerShell 所取代。VBScript 也曾用于 IE 和 IIS 中,但由于其它浏览器并不支持它,因此在微软独有的环境之外逐渐被 JavaScript 所取代。

消息来源:The Register
老王点评:这就是微软封闭时代的遗留物之一,这些遗留物将逐渐消失在故纸堆中。

严重安全漏洞影响三年来的所有 curl 版本

前几天,curl 官方就发出预警,其正在修复一个高危安全漏洞,并将在今天发布修复版本 8.4.0。根据刚刚发布的最新版本和安全公告,这个漏洞影响从 2020 年 3 月发布的 7.69.0 到 8.3.0 的所有版本。该漏洞导致 curl 在 SOCKS5 代理握手过程中堆缓冲区溢出。鉴于 curl 和 libcurl 被广泛用在各种项目中,其带来的影响非常广泛。建议的做法是升级到最新版本,或者不要使用 SOCKS5 代理。curl 作者还就如何产生该漏洞做了深入探讨和 反省

消息来源:CURL
老王点评:虽然这种事情在所难免,但是又一次让人思考现有的开源软件供应链模式是否先天上难以免除这种风险?或许需要一些不一样的思考。

谷歌等披露 HTTP/2 “快速重置” DDoS 攻击

最近几个月,Cloudflare、AWS、谷歌以及其他大型云服务商都受到了一种新型 DDoS 攻击,其中一些 DDoS 攻击达到了每秒 2 亿至 4 亿次请求。谷歌云报告称,由于这种现在被称为 HTTP/2 “快速重置”攻击的攻击,其每秒请求数达到了破纪录的 3.98 亿。这种攻击的模式是,攻击端发起请求使服务器端开始工作,然后快速重置请求。当请求被取消,但 HTTP/2 连接仍保持开放,而服务器仍需为取消的请求做大量工作。并且,立即重置流的能力使每个连接都能无限量地发送请求。通过明确取消请求,攻击者永远不会超过并发开放流的数量限制。

消息来源:Phoronix
老王点评:要说谁对各种协议最热衷,那就是专门盯着这些协议,以期发现各种漏洞的攻击者了。

GNOME 开始正式放弃 X11 会话支持

随着 Fedora 40 希望禁用 GNOME 的 X11 会话支持,上游的 GNOME 开始评估禁用和移除其 X11 会话支持的前景。GNOME 开启了一组合并请求,开始放弃对 GNOME 桌面的 X11 会话支持,一旦这些代码被移除,GNOME 将成为仅支持 Wayland 的桌面环境。在这第一步中仅移除了 systemd 启动目标,但 X11 功能仍然存在。随后的其它合并请求将真正删除大约 3.6 千行的 X11 会话代码。GNOME 称,“X11 接受的测试越来越少。自 2016 年以来,我们一直默认使用 Wayland 会话,现在是时候彻底放弃 x11 会话了。”此外,Fedora 40 也将只支持 KDE Plasma 6 的 Wayland 会话。

消息来源:Phoronix
老王点评:随着 Fedora 的推动,在 GNOME 和 KDE 的支持下,X11 将被扫到历史的垃圾堆中。

“Admin123” 是最大的网络安全错误配置漏洞

根据从红蓝队演习中获得的数据,美国网络安全和基础设施安全局(CISA)和美国国家安全局(NSA)将在软件、系统和应用程序中坚持使用默认凭据列为 十大网络安全错误配置 之首。排名第二的是用户和管理员权限分离不当,第三是网络监控不足。采用安全设计和默认安全的方法,是美国政府近年来最明确、宣传最多的目标之一。他们鼓励技术制造商停止生产存在已知可利用漏洞的产品,并制定法案禁止购买存在任何已知漏洞的软件,虽然一些专家批评该法案限制过多。

消息来源:The Register
老王点评:网络安全已经不是增强功能,而是必备的基础功能了。

LXC 发布 LXD 的社区分支 Incus 0.1

八月份,在 Canonical 决定 接管 LXD 之后,LXC 社区将 LXD 项目分叉为 Incus。上周末,Incus 软件发布了第一个正式版本 0.1。Incus 0.1 大致相当于 LXD 5.18 版本,在此基础上做了各种改动,删除了一些未使用或有问题的功能。有一个值得注意的变化是,用 /dev/incus 代替 /dev/lxd 设备。

消息来源:Phoronix
老王点评:脱开企业的束缚,就是新生的开始。而且,两个同源的竞争品也有助于更好的发展。