成功利用内核漏洞以实现提权的安全研究人员将获得 31,337 美元至 50,337 美元的奖金。

谷歌的平台大量使用了 Linux，尤其是在安卓及其庞大的服务器方面。多年来，谷歌一直青睐开源项目和计划。

最近，这家科技巨头赞助了 100 万美元，用于资助 Linux 基金会开展的一个以安全为重点的开源项目，更多细节参见我们 原来的报道。

而现在，谷歌将在未来三个月内将赏金奖励增加两倍，以奖励那些致力于寻找有助于实现提权（即，当攻击者利用一个错误/缺陷获得管理员权限）的内核漏洞的安全研究人员。

毫无疑问，总会有某种形式的错误和缺陷困扰着内核的安全和开发。幸运的是，来自各个组织和个人的数百名安全研究人员致力于改善其安全状态，这就是为什么这些漏洞不一定会在野外被利用。

谷歌在奖励安全研究人员方面有着良好的记录，但它在接下来的三个月里加大了力度，宣布了 **31,377 美元的基本奖励，最高可达 50,377 美元。

计划细节和奖励

这些漏洞利用可以针对目前已修补的漏洞和未修补的新漏洞，以及采用新的技术。

31,337 美元 的基本奖励用于利用已公开了补丁的漏洞进行提权的技术。如果发现未修补的漏洞或新的利用技术，奖励可高达 50,337 美元。

此外，该计划还可以与 Android VRP 和“补丁奖励”计划一起使用。这意味着，如果该漏洞在安卓系统上发挥作用，除了这个计划之外，你还可以获得高达 25 万美元的奖励。

如果你希望了解更多关于安卓系统的信息，你可以在他们的 官方门户网站 上了解。

增加的奖励将在未来三个月内开放，也就是说，直到 2022 年 1 月 31 日。

安全研究人员可以通过他们的 官方博文 来设置实验室环境，并在他们的 GitHub 官方网页 上阅读更多关于要求的内容。

总结

这项计划是谷歌的一项出色的举措。毫无疑问，它将吸引并惠及许多安全专家和研究人员。

不要忘记，Linux 内核的安全状况将最终受益。

via: https://news.itsfoss.com/google-linux-kernel-bounty/

作者：Rishabh Moharir 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

CentOS Stream 结出了第一个果实：RHEL 9 Beta

虽然许多 CentOS 用户对 CentOS 成为 RHEL 的上游感到不满，但 RHEL 9 表明新的 CentOS 模式已经实现了红帽公司对它的期望。RHEL 9 发布了第一个测试版，它基于 Linux 5.14 内核，支持四种架构：英特尔/AMD 64 位、ARM 64 位等等。红帽公司最近取消了注册 RHEL 测试版的要求。如果你有任何种类的红帽账户（包括免费的红帽开发者计划），你就可以无限制地获得红帽测试订阅。当然，以前的 CentOS 用户现在有 RHEL 克隆的 Rocky Linux 和 AlmaLinux，或者也可以转向 CloudLinux 来支持 CentOS 8。

老王点评：虽然 CentOS 落幕，CentOS Stream 成了 RHEL 的上游，这给了许多类 CentOS 发行版一个新机会，但是 CentOS Stream/RHEL 的这个新模式也许也能获得成功。

自托管的 GitLab 服务器被利用发动 DDoS 攻击

Google 安全工程师发现了 这次 DDoS 攻击，攻击流量一度超过 1 Tbps。该漏洞位于 ExifTool 库内，它被用于移除上传到 Web 服务器中的图像元数据。GitLab 已在今年 4 月将其修复，但不是所有自托管服务器打上了补丁。有大约 6 万 GitLab 自托管服务器联网，而其中一半的服务器没有打上该补丁。利用该漏洞的概念验证代码在今年 6 月公布，而攻击也是始于 6 月。

老王点评：漏洞披露机制虽然推动厂商会加速解决安全问题，但是也给存在潜在缺陷的产品带来了更大的攻击面。

微软为 Excel 增加新的自定义数据类型支持

Excel 在历史上一直是用来组织文本和数字的，但几年来，微软一直在努力提高 Excel 支持的数据类型。去年，它推出了动态数组和数组公式，并通过链接数据类型支持股票、地理和 Wolfram 等数据。为此，微软推出了几个新的 JavaScript API，允许开发者使用 更多的数据类型。

老王点评：作为世界上使用最多的“编程语言”，Excel 能进一步支持各种丰富的数据类型，这应该是微软在无代码产品方面的重要动作。

在元宇宙中做 PPT 和 Excel

目前最热的流行词某过于“元宇宙”了。除了连名字都改成 “Meta” 的 Facebook 之外，微软也在积极 拥抱元宇宙，它正在调整其标志性的软件产品，以创建一个更加企业化的元宇宙版本。第一个产品是具有数字化身功能的聊天和会议程序 Teams，该版本正在进行测试，将于 2022 年上半年推出。用户也能在这个空间中使用 PowerPoint 和 Excel。当然，除了这些企业级需求外，微软也会将其游戏产品搬到元宇宙里面。

老王点评：哪怕是在虚拟世界，你也得工作。

用超级计算机应对人类抗生素耐药性

像红霉素这样的抗生素曾经起到了巨大作用，但是随着抗生素的滥用，很多细菌都对抗生素产生了耐药性。据估计，每年约有 70 万人死于抗生素耐药细菌，而这一数字预计将上升至数百万。朴茨茅斯大学研究团队的 一项研究 通过重新设计现有抗生素来克服细菌耐药性机制，利用超级计算机来对抗细菌的进化能力，最终解决耐药性问题。该团队已经证明，他们的最佳候选药物（尚未进行临床试验）对测试菌株的活性是红霉素和克拉霉素的 56 倍。其候选药物对世卫清单上排名前三的细菌依然有效，而这三种细菌已经对红霉素和克拉霉素产生耐药性。

老王点评：有人曾经问超级计算机有什么用？这就是超级计算机的用处之一。

小偷机器人正在窃取你的 2FA 代码

诈骗者使用了一种机器人，通过电话 冒充苹果支付、贝宝、亚马逊、Coinbase 和各种银行的来电，欺骗受害者输入其 2FA 代码。电话中说，“有人试图使用你的账户消费。需要验证你的身份以阻止转账”。并说：“为了保护你的账户，请输入我们现在发给你的移动设备的代码。”在输入一串六位数字后，该声音说："谢谢你，你的账户已经得到保护……。你现在可以挂断了。”以前往往需要黑客直接与受害者对话，在电话中假装是银行或相关支付机构，而这些机器人大大降低了绕过多因素认证的门槛。

老王点评：真是科技助长坏人。无论如何，你的多因素认证代码不要给任何人，除非是你主动进行的操作。

Fedora 35 发布了，带来了 GNOME 41，并有一个专注于可靠性的基于 KDE 的新变体。

在测试版发布几周后，Fedora 35 稳定版终于来了！这个版本带来了一些关键性的改进，我们将在这里介绍它们。

这些改进中最值得注意的是加入了最近发布的 GNOME 41，同时还有一些小的升级，如 Linux 内核 5.14 和完成向 PipeWire 的过渡。

现在，让我们来简要看一下这些变化，以及 Fedora 35 引入的一些改进。

Fedora 35 的关键升级

下面是 Fedora 35 中一些比较有影响的升级和新增功能。

桌面环境

Fedora 因其对最新桌面环境的支持而闻名，而这一点在这个版本中似乎没有改变。

GNOME 41

Fedora 35 工作站现在搭载了目前最受欢迎的 GNOME 41。这意味着它有了新的“ 连接 Connections ”应用、显著改进的软件中心，以及一些很棒的多任务控制。

它还对笔记本用户有所帮助，因为它改进了触摸板手势、电源配置文件和移动数据设置。

如果你想看看还有什么新东西，你可以看看我们的 GNOME 41 发布报道。

KDE Plasma 5.22

不过，这个版本并不包括最近发布的 Plasma 5.23，而是选择了 Plasma 5.22。不过，这是可以理解的，因为 Fedora 团队只有一周的时间。

虽然是一个相当小的升级，Plasma 5.22 确实带来了自适应透明功能，以及改进的 Krunner 和系统设置。如果你有兴趣，你可以看看 KDE Plasma 5.22 的更多信息。

新的 KDE 版本：Fedora Kinoite

Fedora Kinoite 采用 KDE Plasma 桌面，并且它是基于 rpm-ostree 技术的。你可以得到开箱即用的 Flatpak 应用程序支持，以轻松安装软件。

根据其官方的描述：

“Kinoite 提供原子更新和一个不可变操作系统，以提高可靠性。”

因此，它可能是一个值得尝试的选择，可以作为你的 Linux 桌面操作系统用于日常工作，而不存在因更新而破坏用户体验的风险。

截至目前，它支持 X86\_64 和 AArch64 架构。你可以去它的 项目网站 了解一下。

Linux 5.14 内核

早在八月份，我就介绍了 新的 Linux 5.14 内核，它现在已经出现在了 Fedora 35 中。这对那些基于 ARM 的系统来说是个好消息，因为 Linux 5.14 带来了许多针对 ARM 的改进。

如果你没有使用 ARM 计算机，你仍然会从 Linux 5.14 的一些其他改进中受益。这些改进主要与 GPU 有关，以及对 USB 4 的改进支持。

DNS over TLS 支持

随着隐私变得越来越重要，像 DNS over TLS（DoT）这样的技术正在成为我们隐私的一个关键部分。现在，Fedora 35 带来了对这项技术的支持，它有助于加密你进出 DNS 服务器的互联网流量。

这意味着你的 ISP 不能监视你的浏览习惯，我相信每个人都会喜欢这一点。

其他改进

除了前面提到的那些，Fedora 35 还带来了对以下新功能的支持。

• Firewalld 软件包更新
• GNU 工具链更新
• 支持第三方软件库中的 Flathub 应用程序
• Fedora Cloud 默认采用 btrfs 文件系统
• 过渡到 Pipewire

如果你想看完整的变化列表，可以在 官方更新列表 或 官方公告 中找到。

总结

虽然这个版本没有像 Fedora 34 那样带来很多突破性的改进，但我认为用户会对它更加满意。在 GNOME 41 和 Linux 5.14 之间，用户应该会发现他们的系统有了不错的改进。

如果你想亲自尝试一下 Fedora 35，请随时从下面的链接中下载它。

• 下载Fedora 35

你对 Fedora 35 中引入的变化有什么看法？请在下面的评论中告诉我！

via: https://news.itsfoss.com/fedora-35-release/

作者：Jacob Crume 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

自 JDK 17 开始 Oracle JDK 又可以免费商用了

Oracle 最新发布的 NFTC 许可 中撤回了 2018 年制定的要对 Oracle JDK 收取商用费用的决定，并且也将继续提供 Oracle OpenJDK 发行版。最新 NFTC 适用于最近发布的 Oracle JDK 17 和后续版本。Oracle 对此解释称，“在 GPL 下提供的 Oracle OpenJDK 构建版本是非常受欢迎的，但来自开发者、学术界和企业的反馈是，他们也希望在一个明确的自由条款许可下获得值得信赖、坚如磐石的 Oracle JDK。”并明确表示，新版 NFTC “包括商业和生产用途”，而且“只要不收费，允许再分发”。但调查表明，甲骨文的 JDK 发行版已不再是最受欢迎的 Java 发行版。开发人员们更喜欢 AdoptOpenJDK、亚马逊、微软等其他供应商的 OpenJDK 发行版。

老王点评：早知今日何必当初。但是即便如此，我也不看好他们对开源方面的态度。

科学家开发出可存储 138 亿年的 5D 光盘

南安普顿大学的研究人员“开发了一种快速和节能的激光写入方法，用于在硅玻璃中生产高密度的纳米结构，这些微小的结构可用于长期的 五维光学数据存储，其密度是蓝光光盘存储技术的 10,000 倍以上。”数据存储在玻璃光盘中三层纳米级的点上，这些点的大小、方向和位置（在三个维度上）提供了用于编码数据的五个“维度”。研究人员说，5D 光盘可以在 138 亿年后仍然可读，并且在较短的时间内被加热到 1000 摄氏度后也可以继续保持数据。写入数据速率大约为每秒 230 KB，一张 5D 光盘可存储 500 TB 数据。这项工作仍处于早期阶段。

老王点评：有趣的技术，就是不知道这些光盘怎么保存 138 亿年。

麦当劳开源了薯条字体

上周，麦当劳授权薯条体在 GitHub 上开源。该字体带有薯条和番茄酱设计风格，可以免费下载，只要标注 “#麦当劳薯条体”字样就能自由使用，包括商业用途。

老王点评：感觉这字体适合在万圣节、密室逃脱中使用。

研究人员在源代码中隐藏人眼看不见的漏洞

剑桥大学的研究人员发表论文，介绍了 在源代码中隐藏人眼看不见的漏洞的攻击方法。这种被称为 Trojan-Source 的攻击方法利用了 Unicode 中的特殊字符，通过方向覆盖、同形异义等方法创造出对编译器和人类视觉上存在差异的源代码。人眼看不出漏洞，但对编译器来说逻辑编码顺序和显示的顺序是不同的。这种攻击方法对大多数主流编程语言都有效，研究人员已经将漏洞报告给了相关项目。

老王点评：“眼见并不为实”，这个锅一方面是 Unicode 无克制的增加各种奇怪字符和控制字符导致的，另外一方面也是传统上面对 ASCII 字符的编程语言支持 Unicode 时没有预料到这种恶意利用。

美国航空机构与电信机构因 5G 发生争执

美国联邦航空管理局正准备向飞行员和航空公司发出警告，指出一项新的 5G 无线服务可能会干扰飞机驾驶舱安全系统、自动化系统，该服务将于 12 月初上线。美国联邦通信委员会则对安全问题进行了反驳，称在审查了对航空安全的潜在影响后，于 2020 年初制定了频谱使用规则，现有证据不支持 5G 网络会干扰航空安全的结论。双方争论的核心问题是无线电频谱在 3.7 到4.2 GHz 之间的波段。该波段非常适合 5G 网络传输，并且已经服务于一些国家的手机网络中。而航空设备则工作在 4.2 至 4.4 GHz 的附近频段，因此，美国联邦航空管理局觉得增加了干扰的可能性。

老王点评：说到底，还是频谱之争。

蓝牙标签被用来跟踪被盗物品

今年 4 月，苹果公司发布了 29 美元的 AirTag，为更广泛的受众带来了更有效的蓝牙跟踪技术。虽然苹果公司从没有说过 AirTag 可被用于 追回被盗财产，但实际上该公司建立了一个非常适合此类用例的网络。每一款兼容的 iPhone、iPad 和 Mac 都被默默地用作定位设备，AirTag 使用蓝牙向最近的 Apple 设备发送带有其加密位置的 ping，这些设备将信息传递到苹果的 Find My 网络。兼容 Apple 设备有近 10 亿台，使得 Find My 非常有效，尤其是在城市中。

老王点评：从技术上来说，是一个非常有用的进步，但是如何避免被滥用是个问题。