新恶意程序正利用 WSL 隐蔽攻击 Windows

安全专家发现了针对 WSL 创建的恶意 Linux 安装文件。首批针对 WSL 环境的攻击样本在今年 5 月初被发现，并每过一段时间就出现一次。这表明黑客正在尝试用新的方法来破坏 Windows 设备，并利用 WSL 以逃避检测。这些恶意文件主要依靠 Python 3 来执行其任务，并打包成用于 Linux 的 ELF 可执行文件。

这真是无孔不入，恶意软件就以这种形式将 Linux 当成了目标。

Travis CI 漏洞暴露数千开源项目的密钥

Travis CI 是一个流行的持续集成工具，它提供了与 GitHub 和 Bitbucket 等的无缝整合，能直接克隆用户在 GitHub 中的代码库，然后在虚拟环境中进行构建和测试。它被 90 万个开源项目使用。安全研究人员发现了它的一个严重安全漏洞，会导致 Travis CI 曝光使用它测试的仓库的安全环境变量，如签名密钥、访问证书和 API 令牌。这可能会导致攻击者可借此进入组织的网络。安全研究人员建议所有使用 Travis CI 的项目更换相关的密钥和令牌。而在此事件中，Travis CI 对安全问题的漫不经心激怒了开发者社区，他们甚至要求 GitHub 禁用 Travis CI。

作为一家普遍应用的 CI 服务商，这样对信息安全和开发者的漠视，必将带来更大的问题。GitHub Action 不香么？

Alphabet 采用激光技术实现 5 公里传输 700TB 数据

Google 母公司 Alphabet 关闭了探索将氦气球投放至平流层以实现无线互联网覆盖的项目，但该项目中的用于连接高空气球的自由空间光通信链路（FSOC）等技术保留了下来。目前这项技术正被用于为非洲人民提供高速宽带链接。这种链路有点像是没有电缆的光纤。X 实验室表示，该链路在短短 20 天之内传输了近 700 TB 数据。

这种技术在某些场景下很有意义啊，其实包括它的气球项目，在救灾等恶劣环境都很有用。

Alphabet 的无人机在去年送出了 1 万杯咖啡

在 2014 年开始的一系列无人机测试之后，Alphabet 旗下的无人机公司 Wing 于 2019 年在澳大利亚推出。这项服务最初是 Alphabet 实验研究部门的一部分，允许用户通过移动应用程序订购食品等物品。去年向澳大利亚洛根的客户送去了 1 万杯咖啡、1700 个零食包和 1200 只烤鸡。

不知道什么时候我们点外卖也可以通过无人机收到。

谷歌应用商店年收入超百亿美元

周六解封的法庭文件首次让外界清楚地一窥谷歌应用商店 Google Play 商店的财务业绩。文件显示，在 2019 年它就创造了 112 亿美元收入，其中营业利润 70 亿美元，营业利润率超过 62%。谷歌担心，一旦 Google Play 被开发者成功绕过，他们可能会损失 11 亿美元的年应用商店利润。

结合昨天苹果商店将免除“苹果税”的新闻，以后应用商店的主要收入可能不再是支付分成了。

员工在 Chrome 浏览器安装扩展需管理员审核

谷歌宣布，为企业用户带来了 Chrome 浏览器扩展管理功能，可以让管理员对员工的扩展安装进行审核。企业为 Chrome 浏览器启用该功能后，Chrome 扩展商店的“添加到 Chrome”按钮会变成“请求”字样，点击“请求”按钮就可以向管理员提出申请。管理员还能将某一扩展的版本号锁定，员工无法进行更新。

作为份额最大的浏览器，我惊讶的是居然才推出这样的企业级功能。

苹果公司将免除“苹果税”

苹果公司今天宣布，它已经就美国的开发者对其提起的诉讼达成了拟议的和解。该协议最大的变化是开发者可以使用通信，如电子邮件，在其 iOS 应用程序之外分享支付购买的信息，这意味着他们可以告诉客户不受苹果佣金限制的支付方式。这样，开发者不会为在其应用或应用商店之外发生的任何购买行为向苹果支付佣金。

这将极大的改变应用商店生态，安卓商店也将受到影响。

微软放弃阻止在老式电脑上安装 Windows 11

微软在 6 月宣布了 Windows 11 的最低硬件要求，并明确表示只有英特尔第八代及以上的 CPU 才被正式支持。现在微软改变了这一态度。虽然继续为 Windows 11 推荐了硬件要求，但只有当你试图通过 Windows Update 从 Windows 10 升级到 Windows 11 时，才会实施这些限制。这意味着任何拥有旧 CPU 的电脑，仍然可以下载 Windows 11 的 ISO 文件并手动安装它。但微软称，他们不能保证驱动程序的兼容性和整体系统的可靠性，因此不会向消费者推荐或宣传这种安装 Windows 11 的方法。而且，采用 ISO 安装方式可能导致 Windows 11 的更新受到影响。

好吧，其实我觉得微软还是想要装机量。

谷歌将向苹果支付 150 亿美元，以继续作为默认搜索引擎

谷歌每年都会向苹果支付一笔巨款，以确保它仍然是 iPhone、iPad 和 Mac 的默认搜索引擎。根据分析师分析，谷歌向苹果支付的款项可能在 2021 年达到 150 亿美元，而 2020 年为 100 亿美元，2022 年将增加到 180 亿至 200 亿美元。苹果公司称，“现在，谷歌是最受欢迎的搜索引擎。我们确实支持谷歌，但我们也内置了对 DuckDuckGo 的支持”。

默认搜索引擎也是 Mozilla 赖以生存的重要收入。

谷歌的推送更新少了一个 & 字符，致使 Chrome OS 设备无法登录

谷歌称，本周短暂推出的 Chrome OS 版本，使用户无法登录他们的设备。Chrome OS 会自动下载更新，并在重启后切换到新版本，因此重启设备的用户会突然被锁定。受该更新影响的用户可以等待设备再次更新。

由于 Chrome OS 是开源的，所以我们可以得到更多关于修复的细节。根据分析，在操作系统中保存用户加密密钥的部分，谷歌在更新中弄错了一个条件语句，在应该使用逻辑与运算符 && 的地方少了一个 &，变成了位运算符 &，从而破坏了条件语句的后半部分。由于这个错误，用户无法验证其密码。

这明显是程序员手误，但这么严重的错误，是如何进入产品渠道的推送的？

奇亚硬盘矿大热让希捷 6 年来单季营收首次冲上 30 亿

今年异军突起的奇亚硬盘矿给硬盘市场带来变数，尽管现在的价格不到之前高峰期的 20%，但它还是给硬盘厂商带来了一波红利：希捷 Q4 财季营收突破 30 亿美元，同比大涨 20%。希捷出货的硬盘总容量 152EB，同比增长 30%，其中 80% 的份额都是大容量硬盘市场贡献的。

硬盘挖矿本身是否有价值先不说，硬盘厂商倒是吃饱了。这就和加密货币让显卡厂商赚的盆满钵满一样。

MITRE 更新 25 个最危险的软件漏洞名单

MITRE 发布了 2021 年最危险的 25 个软件弱点榜单：CWE Top 25。CWE 团队利用了美国国家漏洞数据库（NVD）中的常见漏洞和暴露（CVE）数据，以及与每个 CVE 记录相关的通用漏洞评分系统分数。在这些数据中应用了一个公式，根据普遍性和严重性对每个弱点进行评分。

感觉这两年危险的安全漏洞越来越多了。

阿里巴巴使用量子计算来保护支付宝的金融交易

阿里巴巴拥有自己的 11 量子比特的量子系统和模拟器，这包括一个 32 量子比特的服务，并通过与中国科学院的合作演示了一个 64 量子比特的模拟机。

据他们发表的一篇论文，利用量子模拟平台，阿里巴巴使用自己的云计算在后处理阶段提供了四种不同类型生成器的随机数生成。这项量子安全工作已经在生产环境运行了一年多。这听起来可能是一个简单的功能，但它是安全金融交易的关键。与过去的方法相比，量子随机数生成已被证明是最安全的加密方法。

没想到阿里巴巴已经不声不响地将量子计算用在了保障金融安全上了。

微软的内部 Linux 发行版 CBL-Mariner 发布 1.0 稳定版

微软创建的 Linux 发行版除了 Azure Cloud Switch 以外，还有一个 CBL-Mariner（CBL 是 “Common Base Linux”的缩写），这是一个内部发行版，但也是公开和开源的。CBL-Mariner 除了一些预编译的 RPM，没有提供官方的构建版本。它的目标不是成为一个通用的 Linux 发行版，而是让微软的各个工程团队可以用于他们不同的使用情况。它被用于 WSL、Azure Sphere OS、SONiC 以及微软其他基于 Linux 的工作。CBL-Mariner 以安全为重点，利用 RPM 与 DNF 进行软件包管理。

上周，经过几个月的迭代，CBL-Mariner 发布了 1.0 稳定版。

我觉得微软不会发行一个正式的 Linux 发行版吧？不过也难说。

谷歌的证书授权服务正式可用

谷歌的证书授权服务（CAS）是一项可扩展的服务，用于通过自动化管理和部署私人证书，以及管理公钥基础设施（PKI）。谷歌云 CAS 提供了一个高度可扩展和可用的私有 CA。除了身份管理、加强数据传输的安全性和创建数字签名服务之外，谷歌还将 CAS 用在物联网中作为“随用随付”解决方案。

但是我还是喜欢 Let's Encrypt 的免费证书。

法官发布临时禁令，要求勒索团伙不得发布窃取的数据

某知名商业律师事务所在 6 月 12 日遭到网络攻击，不少私人数据因此被泄露。但近日该公司赢得了一项法庭禁令，禁止网络犯罪分子使用、公布或向任何一方传达有关被盗数据或其部分内容。不过在暗网黑客论坛上似乎还没有黑客泄露任何相关的数据。

真是奇葩的法庭禁令。

诉讼称谷歌曾试图扼杀三星 Galaxy 应用商店

在美国三十几个州的总检察长组成的联盟提起的反垄断诉讼中，指控谷歌非法试图控制 Android 系统的应用分发。诉讼称谷歌使用与 Android 手机制造商的收入分成协议，“直接禁止”预装其他一些应用商店，并且它“试图直接付钱给三星，让它放弃与顶级开发商的关系。”该诉讼还称，谷歌贿赂应用程序开发人员，以阻止他们在其它 Android 应用商店上架。

这些指控挑战了谷歌对其政策的核心辩护之一，即与苹果的 iOS 规则不同，Android 系统既允许竞争性应用商店，也允许侧载应用。该诉讼声称这种开放性是一个幌子。

谷歌称这是“一场无视 Android 系统开放性的毫无意义的诉讼。……你可以选择从竞争对手的应用商店或直接从开发者的网站下载该应用。我们没有像其他移动操作系统那样施加限制”。

到底谷歌的开放性是真的还是假的呢？

Visa 与 50 多家加密货币公司达成支付合作

2021 上半年，与加密货币相关的 Visa 卡支付已超过 10 亿美元。周三的时候，Visa 宣布正在与包括 FTX 和 Coinbase 在内的 50 多家加密货币企业展开合作，以允许用户在全球 7000 万商户轻松转换和使用加密货币。商户不需要做出任何改变，相关交易与 Visa 的其它业务没有任何不同。这意味着，即使在那些不接受加密货币的商户，用户也可顺畅地使用 Visa 提供的相关支付服务。

这种支付机构对加密货币的支持是对加密货币的普及的有力支持。