分类 新闻 下的文章

谷歌称 NSO Pegasus 漏洞是“有史以来技术上最复杂的漏洞”

谷歌安全团队在研究 NSO Pegasus 木马时 大吃一惊,他们发现了一个从未见过的黑客利用方式,其中包括一个假装是 GIF 图像的 PDF 文件,文件中有一个虚拟 CPU,是由对像素进行布尔操作而构建。谷歌安全研究人员说“这是我们所见过的技术上最复杂的漏洞之一”。该漏洞有效地创造了“一种无法防御的武器”,这个漏洞在后台默默工作,甚至不要求目标点击链接或浏览恶意网站。“除了不使用设备之外,没有办法防止零点击漏洞的利用。”Pegasus 木马是通过 iMessage 进入设备的,黑客们只需要一个 AppleID 的电话号码就可以瞄准并植入窃听木马。

老王点评:抛开木马本身的恶意用途不说,这个木马的设计很有创意啊。

英特尔称,元宇宙需要 1000 倍的计算能力

英特尔加速计算系统和图形组 负责人说,我们今天的计算、存储和网络基础设施根本不足以实现元宇宙愿景,它需要几个数量级的强大计算能力,以更低的延迟在多种设备形式中使用。

老王点评:这岂不是可以多卖很多芯片出去?

龙芯处理器首次成功运行开源鸿蒙系统

慧睿思通宣布,首次成功将 OpenHarmony 移植到龙芯平台。Gitee 上的项目页面 显示,它基于最新的 OpenHarmony 3.0 版本,通过裁剪和精简版本,去掉不必要的组件,移植到了龙芯 1C300 处理器平台。由于 OpenHarmony 并不支持 MIPS 架构和基于 MIPS 的龙芯,此次移植克服了不少困难,但还有一些驱动未适配,网卡、FPU 功能等尚未实现。1C300 是一款高性价比的单芯片系统,内置浮点处理单元(FPU),支持多种类型内存,可应用于工控、物联网等领域。

老王点评:这对于鸿蒙和龙芯来说都是好事,但比我预期的要晚。

带有有安全缺陷的 Log4J 的火星直升机

灵巧号火星直升机在 12 月 5 日的第 17 次飞行中飞行了 30 分钟,这创造了新的记录。但在飞行结束时,直升机向地面下降时,飞行中的数据流意外地被切断。而之前 Apache 基金会曾骄傲地宣称灵巧号的软件里有 Log4J,因此人们怀疑是不是火星直升机也受到了该漏洞影响。不过,Log4J 漏洞披露于 12 月 9 日,而飞行活动发生在 5 日,这两个事件 完全没有联系。即便有可能,利用火星上的 Log4J 漏洞的概率也微乎其微:要攻击机器,必须将特别制作的文本发送到硬件上,并由有漏洞的库记录下来。要发生这种情况,除非内部人才能做到。

老王点评:虽然现在的飞行器处于隔离的网络环境中,但是也不好说完全不受到安全漏洞影响。而更可怕的是,将来跨越太空的网络攻击可能离我们不远了。

明年有望在苹果 M1 芯片上见到日常可用的 Linux

旨在为苹果 M1 芯片提供 Linux 支持的 Asahi Linux 项目已经完成了 许多目标。Linux 5.17 带来了更多的苹果 M1 驱动,但现在的状况还没有为最终用户做好准备。他们已经支持了触摸板和键盘,对音频播放、耳机插孔等也提供了补丁。不仅是原始的 M1,还有对最近的 M1 Pro 和 M1 Max 的支持工作。但仍需解决的工作包括 CPU 频率缩放、系统睡眠和 CPU 深度睡眠支持、完善 NVMe 存储、WiFi 驱动等补丁,以及 GPU 加速和各种固件问题。2022 年有望完成更多工作,以便在苹果 M1 硬件上形成一个日常可用的 Linux 系统。

老王点评:这就是开源的力量。但是我好奇的是,为什么苹果一直装聋作哑。

明年勒索软件的状况将更糟糕

勒索软件现在是企业的主要威胁,而安全专家认为这种犯罪 在未来将更严重。在过去的几年里,勒索软件运营商从无组织的团伙和个人,发展到针对从中小企业到软件供应链的各个层面的、高度复杂的运营机构和各个独立团队间的合作。勒索软件感染不再是网络攻击的最终目标,已经成为旨在从受害组织那里获得勒索付款的一个组成部分。安全专家认为,勒索软件即服务(RaaS)将在 2022 年继续蓬勃发展,甚至可能进一步发展为一种订阅模式,即你付钱给犯罪团伙,让他们不要针对你。

老王点评:勒索软件攻击已经成为企业必须为之列支的风险之一了。

“Windows 终端”成为 Windows 11 的默认终端程序

2019 年微软发布了 “Windows 终端”,它受到了 Linux 上的终端程序的很多启发,支持标签等现代体验。微软不断为其添加了更多功能,包括丰富的颜色、表情符号,甚至为它设计了字体。更好的是,它是以 MIT 许可证 开源 的。从 2022 年开始,微软将把 “Windows 终端” 作为 Windows 11 上的默认终端程序。

老王点评:不管怎么说,微软拥抱(吞噬)开源以来,给开源世界添加了不少好东西。

Log4j 漏洞在 72 小时内发生超 84 万起攻击

最近披露的 Log4j 漏洞已经 波及全球,ESET 数据显示,该漏洞在美国、英国、土耳其、德国和荷兰被利用的数量最多。安全研究人员甚至观察到每分钟超过 100 次的 Log4j 攻击。广泛使用的 Java 框架,如 Apache Struts 等,极易受到 Log4j 漏洞的影响。黑客已经利用 Log4j 漏洞来接管受害者的计算机,以执行从加密货币挖矿、发送垃圾邮件、到通过大型僵尸网络发起 DDoS 攻击的任何事情。针对这个漏洞,Log4j 先后发布了 两个补丁 来解决,而在最新的补丁中,对这个漏洞的解决方案是完全禁用 JNDI 功能。

老王点评:虽然完全禁用 JNDI 肯定会损失一些功能,但是目前看来只能这样。尽快打补丁吧。

IBM POWER10 CPU 对开源不友好

虽然 POWER CPU 对开源友好,普遍受到自由软件社区的好评,但 IBM 最新一代的 POWER10 处理器却有可能改变这种局面。并不是所有的 POWER10 固件都是开源的,而且没有迹象表明这在短期内会改变。当涉及到 DDR 内存支持和 PCI Express 时,POWER10 仍然需要那些不开源的二进制固件。这为提供完全自由的 POWER 系统造成了 困扰

老王点评:说到底,开源对于很多企业来说,只是补充而不是根本。

Pop!\_OS 21.10 包含了新的 Linux 内核、新的应用程序库以及 System76 为帮助 Pop!\_OS 发展而引入的一些重要变化。

Pop!\_OS 无疑是 最好的 Linux 发行版 之一,也是目前面向 Linux 新手(和游戏玩家)推荐的热门选择之一。

如果你不喜欢非 LTS 版本,你应该坚持使用 Pop!\_OS 20.04 LTS。但是,如果你想看看最新和最棒的更新,那么,Pop!\_OS 21.10 终于就绪,可以下载了!

别忘了,Pop!\_OS 21.10 的发布是为明年 4 月的 Pop!\_OS 22.04 LTS 的潜在功能清单打的前站,你可以期待一下。

Pop!\_OS 21.10 有什么新功能?

请注意,即使 Pop!\_OS 21.10 将 GNOME 40 作为最重要的变化之一,也应该会有类似于 Pop!\_OS 21.04 的 COSMIC 桌面体验

也就是说,在 Pop!\_OS 21.10 中有一些关键的变化,应该会增强你的 Linux 桌面体验,并使你更轻松。

新的应用程序库

在 Pop!\_OS 21.10 中,全屏应用程序菜单已被一个单独的可搜索窗口取代。这应该不那么碍事,而且很方便。

这不仅仅是 System76 对 GNOME 40 的独特调整,在功能上它应该比传统的全屏应用菜单提供更多的好处。

例如,新的应用程序库应该可以增强多显示器的体验,让你在你关注的屏幕中快速搜索一个应用程序,而不是占用整个屏幕。

它还可以让你快速搜索应用程序(或根据你的搜索查询过滤它们)。不仅仅限于已安装的应用程序,它还会显示可以使用 Pop!\_Shop 安装的应用程序。

你可以使用工作区右侧的 “ 应用程序 Applications ” 按钮访问应用程序库,或执行四指向右滑动,按 Super+A 也行。

System76 用自己的存储库取代 Launchpad

如果你一直在关注我们,你可能已经知道了 System76 将 PPA 软件库转移到其系统之中

总的来说,这应该有助于他们控制软件包,并比 Ubuntu/Canonical 的默认仓库更快地推送更新。

GNOME 更新

从 GNOME 3.38.4 跳到 40 应该会引入几个 GNOME 40 改进,至少对核心应用程序是这样。

一些值得注意的改进包括设置中的 Wi-Fi 排序,这意味着,可用的网络将按照活动连接、先前连接和信号强度的顺序显示,以按有用顺序呈现可用 Wi-Fi 网络。

你还可以注意到在你搜索某些东西后,文件中的自动补全功能。

最新的 Linux 内核及 NVIDIA 驱动程序

众所周知,Pop!\_OS 比许多其他发行版更快地推送最新的 Linux 内核。Pop!\_OS 21.04 已经在运行 Linux 内核 5.15,而 Pop!\_OS 21.10 继续使用它。

在这里,Pop!\_OS 21.10 带来了 Linux 内核 5.15.5,并且还打包了最新的可用 NVIDIA 驱动程序,以便与较新的硬件保持最佳的兼容性。

全新安装

每当 Pop!\_OS 从恢复分区安装时,它让你选择“ 全新安装 Refresh Install ”。

通过这种方式,你可以重新安装 Pop!\_OS,而不会丢失主目录中的文件。如果有什么东西不能工作,而你又不能排除故障,重新安装应该会使事情恢复到默认状态,这时它就会派上用场。

对 Pop!\_OS 升级的改进

如果你没有设置任何东西,为用户显示的一个新的默认图标

通过 Pop!\_OS 21.10,你还会有更好的升级体验。

为了方便起见,Pop!\_OS 在升级发行版时对其行为做了一些改变。其中一些是:

  • 自动禁用用户添加的 PPA 以避免升级冲突。
  • 现在在升级发行版之前会更新恢复分区,如果使用恢复分区第一次没有成功,之一可以给你一个可以轻松地重新安装发行版的媒介。

用于树莓派 4 的技术预览版

截至目前,这还是针对树莓派 4 的实验,但你可以下载 ARM 平台的技术预览版。

他们计划在未来的 Pop!\_OS 版本中引入 Pop!\_Pi。

关于 Pop!\_OS 21.10 的想法

Pop!\_OS 一直在努力使桌面 Linux 的体验尽可能可靠,同时拥有一些最新的软件包。

通过 Pop!\_OS 21.10,更新的桌面环境、Linux 内核和可用性改进使这次升级变得有用。

如果你正在使用一个非 LTS 版本,你肯定应该考虑尽快升级。请注意,在你进行升级之前,你应该备份你的数据。

下载 Pop!\_OS 21.10

你可以找到两种用于 Pop!\_OS 21.10 的不同 ISO ,一种用于 NVIDIA,另一种用于 Intel/AMD。

请前往 官方下载 页面,下载你需要的 ISO。

如果你已经安装了 Pop!\_OS 21.04,在他们的官方公告之后,你应该很快收到升级通知,或者前往系统设置并应用升级。

如果你使用的是终端,输入以下命令:

sudo apt update
sudo apt full-upgrade
pop-upgrade release upgrade

你也可以阅读他们 官方公告帖子 中提到的细节。

你对 Pop!\_OS 21.10 有什么看法?请在下面的评论中告诉我你的想法。


via: https://news.itsfoss.com/pop-os-21-10/

作者:Ankush Das 选题:lujun9972 译者:wxy 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

苹果推出适用于安卓的 AirTag 应用程序

苹果发布了一款名为 Tracker Detect 的安卓应用程序,旨在帮助没有 iPhone 或 iPad 的人识别可能在附近的 AirTag 和其他配备 Find My 网络的传感器。如果认为有人正在使用 AirTag 或其他设备来跟踪你的位置,你可以扫描以尝试找到它。应用程序不要求用户拥有 Apple 帐户才能使用。

老王点评:之前我们报道过窃贼使用 AirTag 来跟踪盗窃汽车,但是如果被跟踪的人没有 iOS 设备是发现不了被跟踪的,而这个应用解决了这个问题。

Fedora 36 计划使用 plocate

目前 Fedora 使用 mlocate 作为其 locate 命令,而在下一个 Fedora Linux 版本中,他们打算转移到一个兼容的重新实现:plocate。它可以实现更快的定位,plocate 花费的时间不到 mlocate 的一半,同时还拥有一个更小的数据库。此前,Debian 已经将默认的 locate 切换到了 plocate。

老王点评:其实 Linux 生态中很多组件也在慢慢更新换代,而且是以一种潜移默化的方式在进行。

Ubuntu 22.04 LTS 将不支持 POWER8 CPU

Ubuntu 22.04 LTS 预计不会在老旧的 IBM POWER8 硬件上运行,因为 Canonical 正在将其 PPC64EL 架构基线 转移到 POWER9。他们将使用 GCC 11 编译器将 PPC64EL 架构基线要求提高到 POWER9。POWER8 发布于 2013 年,硬件于一年后出现,而此后 POWER9 在 2017 年取得了成功,现在 POWER10 硬件正在努力推向市场。

老王点评:虽然很多时候 Linux 以支持旧硬件为卖点,但是如果已经在很多领域占有统治地位的 Linux 应该放下一些历史包袱才能轻装前进。

美国军方的一个只有 25% 准确率的 AI 却自信有 90% 的准确率

美国空军一位少将描述了他们在一个基于 AI 的实验性目标识别项目上的 经历,这个 AI 从一个传感器中获得数据,该传感器以一个倾斜的角度寻找一枚地对地导弹。然后他们发现这个 AI 表现并不好,“实际上,它可能只有 25% 的时间是准确的。”不过,该算法的低准确率并不是演习中最令人担忧的部分,而是“它有信心在 90% 的时间里是正确的,所以它的置信率是错误的。”这被称之为脆性 AI,当任何算法不能概括或适应一套狭窄的假设之外的条件时,就会发生这种情况。

老王点评:这种不可靠的 AI,真用到实际场景中,尤其是军事中,那结果非常可怕!

Mozilla 2020 财年收入 4.96 亿美元

财报 中可以看到,特许权使用费的收入仍是 Mozilla 的大部分收入,不过它从上一财年约 4.51 亿美元下降到 4.41 亿美元。虽然 Mozilla 增加了不少订阅产品,但是其收入占比仍然很少。不过,Mozilla 大幅减少了整体支出。它在 2019 年的支出为 4.95 亿美元,在 2020 年支出减少到 4.39 亿美元,基本上是软件开发支出费用减少的。在该财年,Mozilla 解雇了 320 名员工,其员工总数从 1000 多人减少到 800 人以下。最后,Mozilla 在 2020 年跟 Google 续签了搜索引擎协议,为期三年,但内容未披露。

老王点评:比起来,Linux 基金会的 1.77 亿美元 年收入真不算多。

IE 浏览器上的谷歌工具栏下线了

21 年前,那时候微软的 IE 浏览器如日中天,谷歌推出了 IE 浏览器上的谷歌工具栏,引导用户使用谷歌搜索引擎,以及提供高亮搜索词、拦截弹出窗口、拼写检查、自动填充和谷歌翻译等功能。后来,2008 年的时候,谷歌推出了 Chrome 浏览器。之后,对这个插件的工作几乎停止了。本周,谷歌 停止 了谷歌工具栏的下载,说“谷歌工具栏不再可用于安装。相反,你可以下载并安装 Chrome 浏览器”。还好,在谷歌拔掉电源之前,Arstechnica 的编辑们对这个插件做了一次最后的 审视,可以让你怀念一下之前的时光。

老王点评:想想谷歌从一个小小的工具栏开始,逐渐统治了浏览器市场,真是世事无常。