分类 新闻 下的文章

GitHub 调整主页信息流惹怒开发人员

一周前,GitHub 将用户主页中的“关注”信息流和算法推荐的“为你”信息合并,就像在浏览 Twitter 一样,信息流中不按时间顺序排列,也可能混入你没有关注的内容。这让不少用户感到非常生气。有用户说,“不是所有东西都要变得像 Twitter、Facebook 或 Instagram 一样。我们是来完成工作的,而不是来参与你的算法认为我们喜欢的任何事情。”GitHub 回应了这些反馈,称部分受质疑的行为实际上是由于漏洞造成的,现已得到修复,同时加倍坚持其新的信息流的决定。GitHub 称出于性能考虑“删除了‘为用户订阅的资源库推送事件’的功能。我们不会轻易做出这些改变,……我们必须优先考虑可用性、用户体验和性能”。

消息来源:The Register
老王点评:明明是生产力平台,非要变成大家说的“同性交友平台”。

黑客声称只打了 10 分钟电话就关闭了米高梅酒店

一个勒索软件组织声称对周二发生的米高梅酒店网络中断事件负责。该组织声称使用了常见的社会工程学策略,“入侵所做的一切就是在 LinkedIn 找到一名员工,然后致电服务台”,获取员工信任以获得内部信息。据该组织称,授予初始访问权限的对话仅用了 10 分钟。另据报道,他们试图从美高梅骗取赎金,但该公司拒绝支付。受此影响,米高梅的股价已下跌超过 6%。

消息来源:Engadget
老王点评:古老的社工手段真是一直有效。

JetBrains 放弃开源插件,宣布全新 Rust IDE

JetBrains 宣布了 RustRover 的早期访问预览版,这是一个全新的 Rust 集成开发环境。但同时,JetBrains 将不再开发现有的支持 Rust 的开源插件,不会再对其修复漏洞或添加新功能。该插件可与 JetBrains IDE 免费的社区版一起使用。而新发布的 RustRover 也将不会推出社区版,但正式版的发布日期还没有确定,至少在 2024 年 9 月前都只会发布公开测试版本。

消息来源:Dev Class
老王点评:看来,这个开源插件很快就会有复刻版了。

回音

  • “免费下载管理器(FDM)” 承认 其被利用传播 恶意木马,并估计只有 0.1% 的用户受影响。

Unity 新的按安装次数定价激怒了游戏开发社区

多年来,Unity 引擎以其免版税的授权结构赢得了大大小小开发商的好感,这意味着开发商无需根据游戏的销售情况支付额外费用。Unity 于本周二宣布了新的收费结构,在达到一定的最低门槛后,将开始按安装次数向开发者收费,每次安装费用甚至可以高达 0.20 美元,让这种好感被抛到了九霄云外。开发者们的反应非常迅速,可以说是群情激愤。新的 Unity 费用结构将于明年生效,将根据公司的不同订阅层级收取不同的每安装费用。甚至,新的收费结构将适用于以前存在的 Unity 游戏。之前,Unity 允许月收入低于 10 万美元的开发者完全免费使用,其 CEO 在 2015 年推出免费的个人版时说,“我们不会敷衍用户,也不会向他们收取版税。我们说免费,就是免费。”

消息来源:Ars Technica
老王点评:养肥了就该杀了,都是套路。

Ubuntu 23.10 安装程序恢复对 ZFS 文件系统的支持

在基于 Flutter 的新版 Ubuntu Linux 桌面安装程序里,缺少了对 ZFS 根文件系统安装的支持。但最近在即将推出的 Ubuntu 23.10 中,他们恢复了对 ZFS 的“实验性”支持(包括在 subiquity 和桌面安装程序中),但尚不支持 ZFS 加密。由于 OpenZFS 内核驱动程序仍在 Linux 内核主树之外,使用 ZFS 可能面临一定的风险。

消息来源:Phoronix
老王点评:得不到发行版厂商支持的文件系统就很难发展起来。

Stability AI 发布生成式音频 AI

Stability AI 今天宣布其 Stable Audio 技术,让任何人都能使用简单的文字提示生成简短的音频片段。它是利用扩散模型来生成新的音频片段,该模型是在 AudioSparks 音频库中超过 800,000 首授权音乐的基础上训练出来的。Stable Audio 模型大约有 12 亿个参数,与最初发布的用于图像生成的 Stable Diffusion 大致相当。

消息来源:Venture Beat
老王点评:万事皆可训练,万物皆可生成。

无论如何,保持谨慎总是上策!

对于 Linux 的恶意软件,我们并不常提及,这是因为它常会被迅速修复,并且与 Windows/macOS 相比,在现实中被利用的情况相对较少。

然而,一款颇受欢迎的跨平台下载管理器 Free Download Manager,最近引起了一些关注。

虽然在我们的 下载管理器列表 中,并未将其列为 Linux 的推荐选项,但我们的一些读者以及我自己在过去的 Windows 使用体验中,都曾选择了它。

那么,问题来了,这究竟是怎么回事?

伪装成 Linux 版 Free Download Manager 的恶意软件

Free Download Manager 本身并非恶意软件。但问题在于,研究人员发现了一个恶意 Linux 程序包,而这个包,正是假冒 Free Download Manager 的。

安全研究公司卡巴斯基的研究员们 发现,这个恶意程序包已经存在了至少两年(2020-2022年)的时间,而在此期间,大部分使用者并未意识到他们所安装的软件包,含有恶意组件。

许多恶意程序包都试图伪装成市场上受欢迎的程序;那么,这件事究竟是怎么回事呢?

问题的核心在于:这个恶意程序包是通过 Free Download Manager 的官方网站 ? 和其他非官方渠道分发的,一直持续到 2022 年。

? Free Download Manager 的官方网站是 freedownloadmanager.org,正式的下载 URL 是 files2.freedownloadmanager.org

而恶意程序包下载的域名是 deb.fdmpkg.org

换言之,这表明开发者并未察觉其官方网站已被恶意破坏,用户已被重定向,下载安装来自另一个域名的带有恶意的 Linux 程序包。

需要注意的是:并非所有用户在 2020 年至 2022 年期间,都被从官方网站重定向,下载了恶意程序包。然而,这并不能让情况改观,对吧?

你可能下载了,也可能没有下载安装过这个具有感染性的程序包 ?

这个恶意软件究竟干了什么 ?

卡巴斯基的报告在描述这个恶意软件时,称其为 “一种 bash 窃取器”,这种窃取器可以收集系统信息、浏览记录、已保存的密码、加密货币钱包的文件,以及云服务的凭据,包括 AWS、Google Cloud、Oracle Cloud Infrastructure 以及 Azure 等。

考虑到在现实世界中很少看到 Linux 版的恶意软件,因此验证你下载工具的来源和可靠程度是至关重要的,这需要你始终保持谨慎态度。

尽管我们并未明确了解有多少的 Linux 用户习惯使用 Free Download Manager,但这的确是令人警惕的新闻。你应当遵循所有 提高隐私保护的建议,确保你的在线体验安全无忧。

现在,你应该怎么做?

在软件的开发者就此问题做出正式公开回应之前,我会建议你转而使用其他下载管理器:

6 个最好的 Linux 下载管理器

如果你不记得(或无法确认你下载源的准确位置),我会建议你移除该下载管理器。

另外,我建议你阅读卡巴斯基发表的 研究报告,找出可能的系统遭受损害的迹象。如果你的系统中存在相同的文件路径,且 Debian 程序包的恶意校验和与之相吻合,那么你应该手动移除它们。

即使你想要重新下载该软件,在安装包到你的 Linux 系统之前,你也必须核对下载 URL 的准确性。

? 你如何看待 Linux 用户如何保护自己避免受到恶意软件的攻击?欢迎在评论中留言分享你的想法。

(题图:MJ/6b1e3b3f-a880-4342-b38b-500468c72052)


via: https://news.itsfoss.com/free-download-manager-malware/

作者:Ankush Das 选题:lujun9972 译者:ChatGPT 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

无人察觉:窃取密码的 Linux 木马已偷偷下载 3 年

安全研究人员报告,一个下载网站间隔性地向 Linux 用户提供恶意软件,盗取密码和其他敏感信息长达三年多,直到最后销声匿迹。该网站提供了一个名为 “免费下载管理器“ 的 Linux 软件。从 2020 年开始,该网站有时会将用户重定向到另外一个恶意域名,提供该应用的恶意版本,它会在目标设备上安装后门。该后门会窃取包括系统信息、浏览历史、保存的密码、加密货币钱包文件以及云服务凭证等信息。这个恶意重定向于 2022 年结束,原因不明。

消息来源:Ars Technica
老王点评:与 Windows 相比,Linux 恶意软件很少被发现,这往往让人们更加掉以轻心,现在检查一下你的 Linux 桌面,或许为时不晚。

谷歌称它的搜索引擎是最好的

在周二开庭的谷歌反垄断诉讼案上,司法部和来自美国各州和地区的 52 位总检察长指控谷歌支付数十亿美元,以换取被设置为手机和网络浏览器的默认搜索引擎,从而非法维持其垄断地位。法官称,谷歌至少在 2010 年就已成为垄断企业,如今控制着超过 89% 的在线搜索市场。谷歌的律师表示,人们选择谷歌作为浏览器和智能手机的默认搜索引擎“是因为谷歌为他们带来了价值,而不是因为他们不得不使用谷歌”。并举例,微软在 Windows 上的默认搜索引擎是必应,但用户切换到谷歌是因为它是搜索市场上更好的产品。而且,谷歌的律师表示,Safari 和 Firefox 通过默认搜索引擎交易换取收入分成,帮助了它们的创新。

消息来源:彭博社
老王点评:谷歌是不是最好的,和它是不是非法维持垄断没有关系。让我们看看这起新时代的 IT 巨头垄断案将如何走向。

OpenSSL 1.1.1 已经走到了生命的尽头

OpenSSL 1.1.1 最初于 2018 年作为开源安全通信库的长期支持版本发布。当时,其背后的团队宣称,该版本将至少支持五年,也就是到今年。要想继续获得 OpenSSL 的支持,就必须升级到 OpenSSL 3.0 LTS 或最新的 3.1 版本。但迁移到更高版本的 OpenSSL 会带来风险和危险,一些依赖 OpenSSL 的服务可能会对更新反应迟钝,尤其是那些硬编码 OpenSSL 服务的物联网组件。实际上,企业宁可花钱让 OpenSSL 维护者和作者继续使用发霉的旧代码,比如,可以购买一份针对企业的价值 5 万美元的年度支持合同。

消息来源:The Register
老王点评:作为一个安全基础组件,这么干净利索的停止服务支持,总是有些不负责任。

展望未来,Ubuntu 将允许你利用 TPM 支持的全磁盘加密。但是,这是你想要的吗?

Ubuntu 23.10 每日构建不断增加令人兴奋的新功能!

早些时候,我们介绍了 主要的 PPA 变化 和新的 基于 Flutter 的商店(也随最新的每日构建一起发布)。

现在,我们又看到了另一项重大更改,通过更改用户处理磁盘加密的方式(如果启用),增强 Ubuntu 系统的安全性。

该功能的初始支持将在 Ubuntu 23.10 中提供,并将在未来的 Ubuntu 版本中得到改进。

Ubuntu 23.10:TPM 支持的全磁盘加密

TPM 支持的 全磁盘加密 Full Disk Encryption (FDE)作为一项实验性功能引入,是 Ubuntu 过去 15 年处理 FDE 方式的重大变化。

在现有系统中,采用了密码机制,该机制将通过接受用户设置的密码来对用户进行身份验证,然后使用该密码提供对磁盘的访问。

所有这一切都是由于集成了 Linux 统一密钥设置 Linux Unified Key Setup (LUKS)框架而成为可能,该框架在块级别处理磁盘加密。

使用 TPM 支持的系统,主板上的 TPM 芯片将用于提供全磁盘加密,而无需密码。

芯片将处理锁定完整 EFI 状态的密钥 以及内核命令行的解密。只有当设备使用已定义为“授权”来访问机密数据的软件启动时,才有可能实现这一点。

? TPM 可信平台模块 Trusted Platform Module 的缩写。

但是,有一个问题。

TPM 支持的 FDE 基于与 Ubuntu Core 相同的架构,这导致了许多关键组件的共享,这些组件 以 Snap 包的形式提供。因此,引导加载程序(shim/GRUB)和内核文件等内容是通过 Snap 交付的。

幸运的是,这种新的 TPM 支持的 FDE 并不是加密磁盘的唯一方法。对于那些不想使用新系统的人来说,传统密码系统仍将存在

用户还可以使用新系统和密码来进一步增强安全性。

有关 TPM 支持的磁盘加密如何工作的技术细节,我建议你阅读 Ubuntu 的官方博客

有兴趣测试一下吗? ?

? 测试任何实验功能都可能导致全部数据丢失。因此,请自行承担风险。

好吧,TPM 支持的 FDE 已推出到 Ubuntu 23.10每日构建 中,你只需在安装过程中进行设置,如本文中的截图所示。

在 Ubuntu 安装程序中选择安装类型时,可在“高级功能”下使用新的 FDE 选项。

? 你对这个新的实验性功能有何看法? 在下面的评论中分享你的想法。

(题图:MJ/d89e5b66-af24-4a2f-b351-9257239819cd)


via: https://news.itsfoss.com/ubuntu-23-10-disk-encryption/

作者:Sourav Rudra 选题:lujun9972 译者:geekpi 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

微软将取消 Windows 中的第三方打印机驱动程序

微软计划于 2027 年取消 Windows 中的第三方打印机驱动程序。这样做的部分原因是,Mopria 联盟为打印机提供了通用标准。该联盟由多家打印机厂商于 2013 年成立。从 Windows 10 21H2 开始,微软就在其操作系统中加入了对 Mopria 的支持,借助微软 IPP 类驱动程序,可支持通过网络或 USB 连接的设备。微软表示:“这样一来,打印设备制造商就无需提供自己的安装程序、驱动程序、实用程序等”。

消息来源:The Register
老王点评:这种通用外设标准化是一件好事。除了一些非常老旧的打印机,应该没什么影响。

获得艺术大奖的著名 AI 绘画未能获得版权

还记得那副获得 2022 年科罗拉多州博览会年度美术竞赛的《 空间歌剧院 Théâtre d'Opéra Spatial 》的 AI 绘画吗?它是艺术家使用 MidJourney AI 生成的,以其复古的笔触细腻的色彩,意外地赢得了艺术创作比赛的第一名。这件事引发了公众对 AI 绘画和 MidJourney 的极大兴趣。不出意外,美国版权局也拒绝了对该作品的版权授予,“因为它不是人类创作的产物……其中包含的人工智能创作素材超过了最低限度”。使用 MidJourney 创作这幅画的 Jason Allen 告诉版权局,他使用 Midjourney “输入了大量修改和文本提示,至少 624 次,才得到了图片的初始版本”,并用 Photoshop 对其进行了修改。

消息来源:路透社
老王点评:不授予版权有不授予的道理,我认为 AI 制品应该有不同于现有版权范围的新的版权认定。

微软决定由它来选择你使用的安全登录方式

微软本周将推出多因素身份验证(MFA)系统首选验证,它将为登录的个人选择最安全的方法,如果该方法不可用,则提供替代方法。Azure 活动目录会查看用户账户注册的身份验证方法,并选择最安全的途径。首选方法列表从临时访问通行证开始,然后依次是基于证书的身份验证、FIDO2 安全密钥、微软认证器的推送通知和基于时间的一次性密码(OTP),最后是手机。微软的总体目标是最终放弃使用用户名和密码作为身份验证方法,转而使用生物识别等其他方法。

消息来源:The Register
老王点评:总之,就是大家都习惯的密码是最不可靠的安全方式。

回音

  • 果然,Bcachefs 没有进入 Linux 6.6,并按照 Linus Torvalds 的意见,先行 并入 了 linux-next 树,它有望进入下一个版本的 Linux 内核。