发现植入到 UEFI 固件中的恶意程序

研究人员通过固件扫描器的日志发现了一个 植入 到 UEFI 固件中的恶意程序 MoonBounce。该扫描器自 2019 年初以来已被整合到卡巴斯基产品中。恶意程序修改了主板上的 SPI 闪存，它不在硬盘上，因此格式化硬盘或更换硬盘不会清除恶意程序。修改后的固件镜像允许攻击者拦截引导序列的执行流，引入一个复杂的感染链。由于感染链只在内存中运行，而在硬盘上没有留下攻击痕迹。该恶意程序可以部署用户模式的恶意软件，从互联网上下载并执行的更多的有效载荷。

老王点评：真是无孔不入，这些恶意程序真是能别开生面的发现利用方法。

FSF 让其 5000 多名准会员提名董事会成员

自由软件基金会（FSF）董事会前几天通过了 新程序，在其 37 年的历史上，第一次可以让其准会员提名其董事会成员。FSF 打算在 2022 年利用这些新程序首先增加几个新董事，然后开始对现有董事进行审查。包括所有现任董事在内的有投票权的成员可以参与投票。FSF 主席说：“向我们的准会员开放董事招聘程序是 FSF 的一个历史性的、受欢迎的里程碑。”该流程是由顾问主导的六个月审查的主要成果。

老王点评：作为开源先锋，FSF 能践行社区治理是一个进步。

Linux 大量向用户提供了固件更新

本周早些时候，在上传了许多新的系统固件文件后，Linux 供应商固件服务提供了大量下载服务。这些固件解决的问题尚未披露，似乎是一个“高度严重的即将到来的安全问题”，但据分析是在更新英特尔 CPU 的微代码。经过 测试发现，无论新的安全问题是什么，它似乎都没有任何广泛的性能影响。

老王点评：在这种时候，就感觉到了 Linux 供应商固件服务的重要性。

回音

• KDE 15 分钟错误消除计划 第一周解决了 87 个错误，涉及 Plasma Wayland 会话、系统设置区、触摸屏处理等。

依靠 1988 年的大型机的流程造成了 10 亿英镑的养老金黑洞

英国国家审计署的一份报告发现，ICL 时代遗留下来的大型机是 10 亿英镑的 国家养老金黑洞 的原因之一。英国劳工部所赖以管理数以百万计的养老金领取者记录的基础 IT 系统可以追溯到 1988 年，而且需要大量的手工操作。该部门现有的质量检查未能发现成千上万的养老金领取者的系统性欠费，这些老人因而领不到应得的养老金。这是由于依赖于“自动化程度有限”的系统的流程，并且需要“使用多个系统和解释复杂的规则”。工作人员对升级系统有抵触情绪，因为“从商业角度来看，这样做的过程是非常复杂和非常有风险的。”此外，工作人员还需要访问不同的 IT 系统，并手动将信息从一个系统复制到另一个系统，以计算养老金奖励。

老王点评：如何使 IT 系统也能不断更新换代，这是一个系统性的工程。

SUSE 瞄准后 CentOS 市场，发布 Liberty Linux

SUSE 突然在其网站上宣布了 Liberty Linux，加入了后 CentOS 市场争夺。该产品似乎是 SUSE 对 CentOS 8 的重建，旨在实现接近完美的 RHEL 8 兼容性。目前该发行版还没有可以公开下载的版本，不过除了内核，它的所有 RPM 都构建自红帽官方的源代码 RPM 包。它的内核来自 SUSE 自己的 SLE 企业发行版。有意思的是，SUSE 并没有将 Liberty Linux 描述为一个发行版，而是将其描述为“技术和支持产品”、“一个技术和支持解决方案”，以及“现有 Linux 的技术和支持模式，而不是另一个新的 Linux 发行版”。

老王点评：SUSE 眼馋 CentOS 市场这并不奇怪，但是却将其作为一个服务产品，颇显得扭扭捏捏。

恶意行为者利用供应链攻击在近百款 WordPress 主题和插件中植入后门

AccessPress 是一家 WordPress 插件开发商，其开放的插件和主题在超过 36 万个活跃网站中使用。恶意行为者通过供应链攻击破坏了它的 40 个主题和 53 个插件。这些后门 已经在相当多运行 WordPress 的网站上被发现。但在 WordPress 项目的官方网站上镜像的相同主题和插件仍然是干净的，而直接从 AccessPress 获得的软件的用户在不知情的情况下为攻击者提供了后门权限。这些主题和插件可能已经被植入后门已久。

老王点评：对于这样的供应链攻击，用户有什么办法吗？相信绝大多数的用户没有能力审查代码。

KDE 开始 15 分钟错误消除计划

该计划用于集中修复许多影响 KDE 桌面的低级错误，这些错误用户在 15 分钟或更短时间内就能发现。其列入标准是，这些错误受 KDE 的默认设置影响，100% 可重现，一些基本的东西不工作或看起来有视觉上的缺陷，可能导致崩溃，需要重启或终端命令来解决或没有解决方法，最近回退的错误，或有超过五个重复的错误报告。在该计划中，第一批 有 56 个错误需要处理。

老王点评：这些不起眼而很重要的工作，才真正能将 KDE 打磨成主流桌面环境。

Opera 发布专门的内置加密钱包的浏览器

Opera 发布 了一个 Web3 Crypto 浏览器，内置加密货币钱包，更易于访问加密货币/NFT 交易所、去中心化应用 dApp 等。Opera 表示新浏览器旨在简化 Web3 用户体验。Web3 是基于区块链的去中心化互联网，是目前加密货币支持者最热衷的新事物。该浏览器的钱包支持包括以太坊、比特币等加密货币。不过，该浏览器在国内被禁止使用。

老王点评：虽然 Opera 逐渐从主流浏览器中落后，但是它专注于游戏、加密货币等领域的努力还是值得赞赏。

因 5G 干扰，国际航空公司正在减少飞往美国的航班

美国的移动电话公司正在推出的 5G 服务，使用频率在 3.7 至 3.98GHz 之间的无线电频谱，即所谓的 C 波段。国际航空业担心美国 5G 服务过于接近雷达高度计使用的频谱，也就是 4.2 至 4.4GHz 之间，因而正在减少飞往美国的航班。但国际航空业认为，欧洲没有面临同样的风险，在欧洲，5G 服务使用频率较慢的 3.4 至 3.8GHz 范围的频谱，和雷达高度仪使用的频谱之间有更大的缓冲区。此外，欧洲也限制了机场附近的 5G 天线的功率和角度，避免了对飞机的干扰。

老王点评：新技术带来的新挑战，不知道国内的 5G 情况如何。

澳本聪要求比特币开发者重写区块链，以找回他的加密货币

一位被俗称为“澳本聪”的人声称自己是比特币创造者，他说他的比特币私钥在 2020 年被黑客删除了。现在他正在起诉 Bitcoin SV（BSV）的开发者们，希望迫使他们“重写或修改底层软件代码”，让他获得他“拥有但无法访问”的价值 1400 万英镑的 BSV。Bitcoin SV 是 Bitcoin（BTC）的一个分叉。他声称丢失的私钥除了可以控制这些 BSV，还可以控制对应的比特币，总价值高达 45 亿美元。这 15 名被告包括比特币博客作者“比特币耶稣”、BSV 比特币协会等比特币核心的开发人员。

老王点评：能修改的区块链，亏他能想得出来。不过这人就是一个讼棍，意不在真的修改，而是利用诉讼达成另外的目的。

工厂雇佣机器人员工

芝加哥南部的一家生产金属铰链、锁具和支架的工厂已经经营了上百年，去年为了在人工短缺的情况下满足不断增长的需求，雇佣 了第一位机器人员工。这个“机器人”是一只机械臂，执行一项简单的重复性工作：将一块金属放到冲压机里，后者随后将其弯曲成新的形状。和人一样，机器工人按照工作时间获得报酬。这位雇佣或者说租来的机器人的成本相当于每小时 8 美元，而人类员工的最低工资为每小时 15 美元。

老王点评：如果说是租来的，感觉还没那么强烈，但是如果说是雇佣，这种机器人抢走人类工作的感觉非常明显了。而对工厂来说，其实没有区别。

一半的医院联网设备容易受到黑客攻击

根据一份报告，医院中使用的互联网连接设备有一半以上 存在漏洞，可能会危及病人安全、机密数据或设备的可用性。该报告分析了全球 300 多家医院和医疗机构的 1000 多万台设备的数据。医院里最常见的互联网连接设备类型是输液泵。这些设备可以远程连接到电子医疗记录，提取正确剂量的药物或其他液体，并将其分配给病人。报告发现，输液泵是最有可能存在可被黑客利用的漏洞的设备，73% 的该类设备存在漏洞。

老王点评：在享受联网便利的同时，安全没有跟上带来的风险更大。

英特尔将发布超低电压比特币采矿芯片

据报道，英特尔很可能在 2 月份的国际固态电路会议（ISSCC）上公布一种专门的加密货币开采芯片。这使该公司首次在比特币采矿 ASIC 市场上与比特大陆等公司展开直接竞争。ASIC 是专用于特定用途的集成电路芯片。英特尔的这款芯片代号为 “Bonanza Mine”，翻译成中文是“富矿”。

老王点评：在加密货币挖矿人人喊打的今天，英特尔发布这样一款芯片，耐人寻味。

Wine 7.0 发布

Wine 用于在 Linux、macOS 和其他平台上运行 Windows 应用程序/游戏。Wine 7.0 将许多组件转换为 PE 格式，改进了内置程序的主题设计，对内置应用程序的 HiDPI 支持，更新了 OpenCL 支持，对 VKD3D 1.2 的支持，更新 Mono、Unicode 14 支持，WinRT 改进等等大量变化。Valve 公司基于 Wine 的 Proton 软件为 Linux 上的 Windows 游戏提供了 Steam Play 支持，也给 Wine 提供很大的帮助。

老王点评：Wine 不但为 Linux 早期应用的匮乏帮了大忙，而且在今天，依然有很重要的意义。

预印本网站 ArXiv 已收录了 200 万篇论文

ArXiv 始于 30 多年前的几十位弦理论家的电子邮件列表，现在已经发展到收集了 超过 200 万篇 论文，成为物理学家、天文学家、计算机科学家、数学家和其他研究人员的中心枢纽。作为比较，亚历山大图书馆据认包含手稿不超过数十万份。论文作者们经常向 arXiv 提交手稿，然后在同行评议的期刊上发表，但越来越多的论文被单独发布在 arXiv 上。论文通常在一天之内就可以出现在 arXiv 上。除了传统的手稿，arXiv 还包含白皮书、历史概述，甚至是胡闹的愚人节论文。顺便说一句，ArXiv 的意思是档案，名字中的 “X” 是希腊字母 chi。

老王点评：这才是知识的殿堂，相比国内某论文网站，啧啧……

回音

• 在社区反对之下，Chrome 99 Canary 中 恢复 了预置搜索引擎选项的移除选项。

星链卫星影响的图像两年间增加了 35 倍

SpaceX 旗下“星链”互联网服务需要在轨运行密集的卫星群来提供低延迟网络连接服务。目前已有超过 1500 颗在轨卫星，美国 FCC 此前已经批准了 12000 颗星链卫星的发射。在过去的两年时间里，受星链卫星轨迹影响的图像数量 增加了 35 倍。研究人员估计，如果星链按计划发射所有卫星，几乎每一张观测图像中都至少有一条星链卫星的轨迹。SpaceX 在新一代星链卫星上安装了遮光罩，使卫星亮度下降了大约 4.6 倍，但仍然高于解决问题设定的目标。目前图像中的星链卫星轨迹细小，加之可以通过软件进行识别并处理，所以对天文观测的影响不算大。研究人员估计，目前而言，因为与星链卫星轨迹重合而导致错过罕见天文事件的概率只有 0.04%，但对黄昏观测影响最为严重。

老王点评：这一问题会随着卫星数量的增加而进一步恶化。

2021 年针对 Linux 的恶意软件增长了 35%

根据 一份报告，2021 年，针对 Linux 系统的恶意软件与 2020 年相比上升了 35%。XorDDoS、Mirai 和 Mozi 是最普遍的系列，占 2021 年观察到的所有针对 Linux 的恶意软件攻击的 22%。之前的 另外一份报告 也证实了这个增长趋势，发现 2020 年 Linux 恶意软件家族比前一年增加了 40%。

老王点评：从好的地方看，这代表 Linux 越来越流行了 ?

FFmpeg 5.0 发布

FFmpeg 被多媒体应用广泛使用，其中之一是 VLC。在这个 版本 中，删除了大量废弃的 API，其中一些 API 甚至在 2013 年就被标识为废弃了，在这个版本之前已经有 4 年没有删除过废弃 API 了。所以如果你的应用使用了废弃 API 的话，请注意升级问题。除了 API 方面的变化，此版本还增加了许多功能，详情请参考 变更日志。此外，FFmpeg 将从 5.0 开始转向基于时间的发布节奏，预期每年都发布一个重大版本，以及每隔一年一个 LTS 版本，5.0 将是第一个 LTS 版本。

老王点评：虽然这个软件自己都没有个 GUI，但是却是很多华丽的多媒体应用的动力所在。