每一次下载的 Firefox 安装包都含有唯一识别码

你每次从 Mozilla 官网下载的 Firefox 安装文件都不同，它会含有一个 唯一识别码，因而你查看其 MD5、SHA-1 等校验码会发现各个不同。Mozilla 内部将该识别码称为 dltoken，可以用二进制分析工具检查软件包找到它。该数据用于 Firefox 内部分析。所有分发通道的 Firefox 都含有该识别码。如果你不想下载带识别码的 Firefox，可以从 Mozilla 的 HTTPS 资源库（以前的 FTP 资源库）或第三方下载网站下载。虽然 Mozilla 指出，选择退出的机制是标准的遥测选择退出，但用户如何在安装 Firefox 浏览器之前选择退出？

老王点评：这就是号称保护用户隐私的 Mozilla 吗？

开源软件包 node-ipc 植入反俄代码遭到抨击

node-ipc 是一个流行的 Node.js 基础软件包，被包括 Vue.js 在内的许多大型软件和框架所依赖，其周下载量超过百万次。然而最近，该维护者发布了名为 peacenotwar 和 oneday-test 两个模块，并作为依赖项而包含在 node-ipc 的代码中。其中包含了作者本人对俄乌战争的观点和呼吁，“作为一种非暴力的抗议形式，以反对当前俄乌冲突造成的威胁”。这些模块会在用户的电脑桌面上放置一个文件来宣传其倡议。然而，更糟糕的是，作者还发布了一个特定版本，它采用混淆代码以隐藏其真实目的，针对俄罗斯和白俄罗斯用户的 IP 而 破坏用户的文件。此事招致了开发者们大量的抨击。

老王点评：我一直没有点评俄乌战争以来开源界或更广泛的技术领域的表态，但是这件事让我感觉突破下限了。抛开这些恶意行为不说，Node.js、Python 等依赖开源公共仓库模式的语言，必须有个切实的解决方案来应对这些有意或无意的破坏了。

Mozilla 和 Open Web Docs 在 MDN 上携手合作

Mozilla 在裁员时将其著名的 MDN 团队也裁掉了，并在此基础上和谷歌、微软等公司共同建立了 Open Web Docs（OWD）。但是，前不久 Mozilla 又 推出了新版 的 MDN，并推出了收费的 MDN Plus 服务。这让人迷惑其与 OWD 关系如何。现在 Mozilla 撰文澄清 了它与 OWD 的关系：双方保持密切合作，OWD 会向 MDN 贡献内容，是其重要的贡献项目之一；但是 Mozilla 不参与 OWD 的决策，双方也不向对方提供财务支持。

老王点评：我觉得，其实背后还是 Mozilla 分割出去 MDN 之后又舍不得了。

AI 学会了“谷歌一下”

DeepMind 创建了一个新的 AI 语言模型 GopherCite，它可以像人类一样，学会“Google 一下”，回答问题同时还能给出论据。当你问它：“GopherCite 是如何找到论据来源的？”它会回答：“通过 Google 搜索检索相关文档。”在遇到实在不懂的问题，它会说不懂而不会强行给一个错误答案。训练结果显示，该模型在自然问题数据集、ELI5 数据集上的正确率分别可以达到 90%、80%，接近人类水平。

老王点评：这 AI 越来越“聪明”了。

AI 六小时内就提出了 4 万种新的潜在化学武器

研究人员将通常用于搜索有用药物的 AI 放入一种 “坏人” 模式，只用了不到六个小时就提出了 4 万个潜在的致命分子结构。研究人员调整他们的方法，以寻找而不是剔除毒性，AI 想出了数以万计的新物质，其中一些与有史以来开发的最强的神经毒剂 VX 相似。

老王点评：AI 如果用于不好的方面，也许就是放出来的潘多拉魔鬼。

Canonical 为 Snap 包提速，但仍不够快

Canonical 在 Snap 包中改用 LZO 压缩取代 xz 压缩，以加快启动时间。通过使用 LZO 重新生成 Snap，可以减少冷启动时间，如果用 LZO 对 KDE 框架 Snap 进行压缩，则收益更大。而一旦 Snap 包已经加载，其热启动时间就相当低了，大约为 1.1 秒。

老王点评：Snap 有好处也有坏处，就看怎么权衡了。

华为自研编程语言“仓颉”试用报名开启

今天，华为编程语言实验室发布了华为新语言的 试用报名问卷，并表示在问卷填写完成后，将通过邮件进行后续信息的通知。这款“新语言”应该就是华为在 2021 年开发者大会上公布的自研编程语言“仓颉”。据悉，仓颉是华为为 HarmonyOS 量身打造的编程语言，通过仓颉，鸿蒙与欧拉将在应用开发生态上进行打通。

老王点评：到底仓颉好不好，大家不如申请测试一下再说。

Linux 和树莓派设备成为默认密码攻击的目标

根据一份新的 威胁报告，随着攻击者越来越多地部署自动化攻击方法，默认凭证成为这些不良行为者最常使用的手段。而 nproc、root 和 pi/raspberry 等用于 Linux 和树莓派的默认密码成为最常见的密码之一。使用默认密码为攻击者提供了一个最容易的切入点，可以让攻击者避免被发现。

老王点评：再安全的系统也架不住你用默认密码啊。这一点上我觉得现代 Wi-Fi 路由器做的挺好，出厂就是随机密码。

Canonical 宣布新的 Ubuntu 徽标

Canonical 今天展示了一个全新的 Ubuntu 徽标，将在今年 4 月份发布的 Ubuntu 22.04 LTS 中启用。这是 Ubuntu 的“朋友圈”徽标（Circle of Friends）自 2004 年推出以来的第 3 次更新。该徽标的设计师也是上一次徽标的设计师，他称，“我们确实有一些相当大胆的想法。但我们的价值观在当时没有改变，现在也没有。所以最后，除了简单地将 ‘Circle of Friends’ 更新为一个更现代的外观和感觉之外，没有别的想法。”

老王点评：说实话，我是不太喜欢这个新的徽标。要说换徽标，我觉得 Mozilla 从社区征集到的那个最好。

Zorin OS 16.1 带来了安全补丁、新软件，团队的目标是打造更好的发行版。

Zorin OS 之所以受欢迎，是因为它为 Windows 用户的 Linux 之旅提供了一个完美的起点。由于其简单的设计、优雅的软件包选择和开箱即用的 Windows 外观，它是当今所有用户欢迎和追捧的 Linux 发行版之一。

自 Zorin OS 16 以来，经过近两个月的时间，这第一个小版本现在可以供已经在运行 16.0 版本的用户下载和升级了。

Zorin OS 16.1 - 新内容

Zorin OS 16.1 为你的系统带来了最新安全补丁，包括 LibreOffice 7.3 办公套件和一些更新的软件包。

如果你刚买了一台新的笔记本电脑或安装了一个新的游戏工作站，Zorin OS 16.1 还支持索尼的 PlayStation 5 Dual Sense 游戏控制器和苹果的魔术鼠标 2。此外，你还得到了对英特尔第 12 代处理器和英伟达 RTX 3050 显卡的出色支持。

此外，由于最新的软件包，Zorin 开发人员承诺对汽车 Wi-Fi 和打印机有更好的支持。

下面是这个小版本的更新包和应用的快速总结。

• 基于 Ubuntu 20.04.3 LTS
• Zorin 桌面，基于 GNOME 3.38.4
• LibreOffice 7.3
• Firefox 98
• Linux Kernel 5.13
• GIMP 2.10.18
• Evolution 邮件客户端

如果你想深入了解这些变化，完整的细节可以在这里找到。

那么，在哪里下载？

下载

在你点击下载之前，你应该知道它有一个“专业”版本，带有额外的主题和开箱即用的设置，价值 39 美元，而“核心”版本是完全免费下载的。你可以在下载页面阅读“专业版”和“核心版”的比较。

在我看来，核心版应该足够了，如果你有足够的经验，你可以改变设置，使其成为专业版。因此，我们推荐核心版用于一般用途。

• 下载 Zorin OS 16.1

via: https://www.debugpoint.com/2022/03/zorin-os-16-1-release/

作者：Arindam 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

影响所有 Linux 防火墙的安全漏洞被发现

安全研究人员在 Linux 的 netfilter 中发现了 一个漏洞，“可以利用它来实现内核代码的执行，能够做到完全的本地权限提升、容器逃逸等。”几乎所有的 Linux 防火墙工具，如 iptables、nftables、firewalld 和 ufw 背后都有 netfilter，它控制着进出 Linux 的网络栈。漏洞原因是 netfilter 没有正确处理硬件卸载功能，即使被攻击的硬件没有卸载功能。这个漏洞存在于 Linux 内核 5.4 到 5.6.10 版本中。影响了最近的主要发行版，如 RHEL 8.x、Debian Bullseye、Ubuntu Linux 和 SUSE SLE 15.3。

老王点评：几乎所有的 Linux 都会启用 netfilter 防火墙，因此这个漏洞必须得补上，而无法规避。

20 年的 Debian 开发者被排挤出项目

一位在 Debian 项目中服务超过 20 年的开发者在去年 12 月被降级为维护者，导致他决定 离开该项目。他称，Debian 客户经理团队认为他“多年来一直在欺负项目成员”，“不能与社区团队沟通”。他现在已经加入了 Arch Linux 项目。他表示他将在以后的博文中解释更多的情况。

老王点评：是非曲直我们并不知道，但是有人的地方就有江湖，开源社区也不例外。

英特尔准备让其 SGX 支持 Linux 下的微码更新

越来越多的用户对他们的内核进行热补丁，并在不重启系统的情况下应用微码更新。但英特尔的“软件防护扩展”（SGX）还不允许实时微码更新。在一个正在运行的系统上进行 CPU 微码更新将破坏 SGX 认证，SGX 将停留在认证旧版本上，直到重新启动，而新的更新由于不同的版本而被认为受损。英特尔 正在引入 一个新的 SGX 指令 “EUPDATESVN”，允许其证明更新的微代码信息，而不需要重新启动。

老王点评：虽然 SGX 屡屡出现安全问题，但是这个对安全还是很有意义的，要是能支持实时微码更新，那就更好了。

回音

• 被曝在 Windows 11 Insider 的文件管理器测试广告后，微软表示，这是一个实验性的横幅，并不打算对外发布，并且已经被关闭了，但不排除未来在文件资源管理器中出现广告。

微软正在测试 Windows 11 文件管理器中的广告

有用户爆料，最新的 Windows 11 Insider 的文件管理器中出现了微软的广告，例如，如何“利用微软编辑器的高级写作建议，在文档、电子邮件和网络中自信地写作。”这很可能是微软在进行 A/B 测试实验，因为不是每个用户都会看到这种广告。这并不是微软第一次在其应用内添加广告，2016 年，微软在 Windows 应用程序中显示了 OneDrive 广告，在写字板菜单栏中推送其免费 Office Web 应用的广告，在 Windows 10 开始菜单中显示 Edge 的广告等等。

老王点评：我就不知道微软在想什么，是觉得 Windows 用户对广告接受度比较高？

英特尔发现了 AMD 幽灵缺陷的缓解措施存在漏洞

本周，发现了只影响英特尔和 Arm 处理器的新幽灵缺陷。但英特尔围绕这些新攻击载体的研究发现，AMD 用于修复该缺陷的补丁之一自 2018 年以来一直就是坏的，该缓解措施并不充分。这个问题影响了几乎所有的现代 AMD 处理器。作为回应，AMD 发布了一份安全公告，点名感谢英特尔的 STORM 团队，但称它没有发现任何使用该方法的攻击利用，并更新了其指导意见，建议使用替代方法来缓解该缺陷，从而修复了这个问题。

老王点评：AMD：谢谢啊，真心的。

微软声称在量子计算机系统方面取得突破

像所有声称量子计算优势的组织一样，微软认为它所谓的“拓扑量子比特”是通向“量子计算机的基石，预计将比用已知其他类型的量子比特建造的机器更稳定。”微软表示，这个突破是创建百万级量子比特的量子计算机的下一步，许多人认为这是解决目前经典计算机不可能解决的大规模问题所需的最低规格的里程碑。

老王点评：当量子计算机能进入实用时，将堪比当年计算机的发明，甚有过之。