Linuxcat周刊(第15期) 开源下载器开发者被跨省，因被用于诈骗

公告： 近期最后一次有规律的更新，往后半年左右回归随缘更新

大事概览

Windows 曝严重安全漏洞，攻击者可零点击远程入侵设备

此漏洞被编号为 CVE-2024-38063 (https://www.cve.org/CVERecord?id=CVE-2024-38063)，是一个严重漏洞，评分为9.8。它存在于 Windows 的 TCP/IP 网络堆栈中，是一个严重的远程代码执行漏洞。未经身份验证的攻击者可以通过反复向 Windows 设备发送特制的 IPv6 数据包，触发漏洞并实现远程代码执行。
攻击者无需任何用户交互即可利用漏洞，入侵系统并获取最高权限。利用难度低，攻击者可以通过批量扫描互联网，寻找存在漏洞的主机。攻击者无需以用户身份进行身份验证。不需要访问受害者计算机上的任何设置或文件。受害者设备用户不需要进行任何交互操作，无需点击链接、加载图像或执行文件。
强烈建议用户立即更新系统至最新版本。微软正在发布相关补丁以修复此漏洞。如果目标计算机上禁用 IPv6，系统不会受到影响。 大多数情况下，用户获取到的 IPv6 地址为公网地址，因此攻击者极有可能对特定公司、学校、机构或目标人群进行有针对性的入侵。

消息来源: LoopDNS资讯 ，微软

研究员：Windows 系统防火墙无法阻止 IPv6 远程代码执行漏洞

根据赛博昆仑实验室研究员Wei透露的部分消息，攻击者构造的IPv6数据包在到达防火墙进行数据处理之前就可能被触发，因此仅通过开启系统的IPv6防火墙并不能有效阻止攻击。
结合该漏洞的特性，这进一步验证了之前的推测，即该漏洞可以用于在内网中进行横向攻击，特别是通过内网IPv6地址实施攻击。由于部分场景下的内网设备长期无法进行系统更新，该漏洞对这些没有网络隔离且长期无法更新系统的环境构成了更大的威胁。

消息来源: XiaoWei’X ，LoopDNS

GitHub 服务出现短暂中断

8月15日上午7点至八点左右，Github所有服务出现短暂中断

乐子

1 腾讯云：收到国内大量家用路由器遭 DNS 劫持报告

近日，腾讯云收到大量用户反馈，称访问网站和APP时频繁遭遇失败。深入排查发现，问题源于家用路由器的DNS解析配置被篡改。此次情况自2024年5月起出现，8月5日达到峰值，虽目前部分域名已恢复，但因TTL和本地缓存的影响，用户访问可能仍存在滞后。
腾讯云提示，这是一种典型的DNS劫持攻击，攻击者通过非法手段篡改用户的DNS设置，导致域名解析指向错误的IP地址，影响正常访问。用户可检查路由器的DNS配置或使用dig命令来确认，如发现问题，建议立即升级路由器固件并更改DNS设置，以防再次遭受攻击。

消息来源: 腾讯云DNSPod

2 普京要求拥有超过1万名订阅者的博主和电报频道所有者备案

普京签署了一项新法律，对即时通讯服务，包括Telegram频道的运营进行规范。根据该法律，拥有超过1万名订阅者的Telegram频道所有者必须向俄罗斯电信监管机构Roskomnadzor报告自己的数据，报告的形式和范围由政府决定。法律禁止未列入Roskomnadzor名单的频道发布广告、分发有关频道及其所有者可能的资金信息，其他Telegram频道也不得转发其消息。
此外，俄罗斯公民最多只能拥有20张SIM卡，而外国人最多只能拥有10张SIM卡。无线服务提供商将使用统一识别和认证系统、统一生物识别系统以及内政部的跨部门电子互动系统，或由政府确定的组织确认用户的护照数据。
法律还规定：

1.与外国人签订合同只能亲自进行，不能在线完成，并且只有在他们有统一生物识别系统的记录时才能签订。合同中必须包含将与SIM卡一起使用的设备的IMEI号码。这些要求不适用于外交人员或其家庭成员。

2.个人可以通过公共服务网站请求获取国家SIM卡控制系统中所有SIM卡的数据。如果个人认为某张SIM卡的归属不正确，他应要求无线服务提供商立即暂停提供服务。

3.俄罗斯政府将设定提供电信服务合同的场所和地点的要求。此外，公司和个体经营者只能在合同下向为他们工作的个人提供SIM卡。所有员工数据必须提交给统一识别和认证系统。

4.电信服务的现金支付只能在付款人的身份证在银行或邮局，或由政府指定的组织，以及符合政府要求的特别装备的终端上进行验证后进行。

5.无线服务提供商必须在2025年7月1日之前使与外国人签订的所有合同符合新法律，否则将不为外国人提供蜂窝服务。无线服务提供商必须在2025年11月1日之前验证俄罗斯个人和企业用户的资料以及SIM卡数量，并在发现违规时停止提供服务。

消息来源: Interfax

3 中国电信部分地区屏蔽了 iMessage 激活短信

电信官方回复：

亲亲接到监管部门的通知，近期苹果FaceTime诈骗案件频发，为了保障群众财产安全，暂时屏敝苹果FaceTime注册验证短信，影响苹果手机 FaceTime、imessage软件激活，您可拨打反诈中心96110咨询。

被屏蔽的省份目前只能通过邮箱激活iMessage等服务。

消息来源: V2ex

4 Nova Launcher 开发人员几乎全被解雇

安卓第三方启动器 Nova Launcher 的开发者团队几乎全部被解雇。现在团队只剩下一名全职开发人员：启动器的创始人凯文·巴里 (Kevin Barry)。巴里表示，开发工作将继续进行，他将继续负责该项目。但被解雇的团队成员表示，Nova 的开发工作将不得不放缓。巴里也发帖称，与最初的计划相比，他需要减少 Nova下一个主要版本的功能和改进。被解雇的开发人员之一罗布·温赖特在该项目的 Discord 上写道：“随着应用开发人员的减少，开发速度无疑会放缓，但目前的计划是以某种形式继续进行更新。”

消息来源: [TheVerge] (https://www.theverge.com/2024/8/9/24217077/nova-launcher-layoffs-only-original-developer-remaining)

评论：一个时代结束了，现在用第三方启动器的已经不多了

5 中国品牌科沃斯家用机器人可能被黑客入侵用来监视房主

新研究发现，黑客可以控制科沃斯生产的扫地机器人和割草机，并使用这些设备的摄像头和麦克风监视房主。安全研究人员将于周六在 Def Con 黑客大会上详细介绍他们对科沃斯产品的研究。在分析多款江苏苏州科沃斯产品时，研究人员发现了许多问题，这些问题可被滥用来通过蓝牙入侵机这些产品并秘密远程打开麦克风和摄像头。研究人员表示，主要问题在于存在一个漏洞，任何人只要使用手机，就能通过蓝牙从约130米远的地方连接并控制科沃斯产品。一旦黑客控制了该设备，就可以远程连接，因为设备本身通过 Wi-Fi 连接到互联网。研究人员说：“他们的安全性真的非常非常非常糟糕。”

消息来源: Techcrunch

6 AMD 公布严重漏洞：影响数亿个CPU，几乎无法修复

“Sinkclose”是最近发现的高危漏洞，影响了自2006年以来发布的几乎所有 AMD 处理器。此漏洞允许攻击者深入渗透系统，使得检测或删除恶意软件变得极其困难。这个问题非常严重，在某些情况下，放弃受感染的机器可能比修复更容易。不过，由于该漏洞18年来一直未被发现，因此很可能未被利用过。AMD 也提供了新版固件和微码补丁，尽管并非所有受影响的处理器都已收到补丁。

消息来源: tom’s Hardware

后续: AMD 发布更新以缓解“Sinkclose”严重漏洞，但不会覆盖较旧的CPU
AMD 产品安全部门已针对多个处理器系列发布了更新以缓解此问题，但并非所有处理器系列都包含在内。AMD 没有计划更新其 Ryzen 1000、2000 和 3000 系列处理器或其 Threadripper 1000 和 2000 型号。
AMD 最近的大多数处理器都已收到缓解选项来处理该问题。这包括 AMD 数据中心的所有 EPYC 处理器、最新的 Threadripper 和 Ryzen 处理器。其 MI300A 数据中心芯片也正在获得补丁。当被问及更新的后果时，该公司表示“预计不会对性能产生影响”。因此，该公司可能仍在进行性能测试，以充分评估补丁对整体系统性能的影响。
攻击者需要访问系统内核才能利用 Sinkclose 漏洞，因此系统必须已被攻陷。这种攻击本身十分复杂，通常只有受国家支持的黑客才会使用。

消息来源: Tom’s Hardware

7 微软“画图 3D”将于11月4日下架和停更

Windows 操作系统内置的“画图 3D”应用内出现一条横幅：“从2024年11月4日开始，画图 3D 在微软商店中将不可用，并且不再接受将来的更新。”画图 3D 原本应该取代具有32年历史、具品牌标志性的传统绘图软件画图，但现在情况发生了变化。微软在为该项目投入数年后决定停更画图 3D 应用。显然，这款应用只吸引了一小部分用户，微软因此决定不如将其彻底淘汰，而不是继续维护。

消息来源: WindowsLatest

评论: 画图3D当玩具还是挺好玩的

8 CrowdStrike 因全球 IT 中断而获得“最史诗级失败”奖

当地时间8月10日，在其软件更新引发全球 IT 崩溃的几周后，CrowdStrike 并没有回避公众的关注。事实上，该公司总裁迈克尔·森托纳斯甚至登上被称为全球“安全界奥斯卡”的 Pwnie Awards 大奖的舞台，领取了“最史诗级失败”奖。颁奖典礼在 Def Con 黑客大会上举行。森托纳斯获奖感言的视频已在网上分享。与那些愿意给予 CrowdStrike 第二次机会的会议参与者类似，颁奖嘉宾听起来也很热情，并且感谢森托纳斯到场承认公司的错误。森托纳斯表示，他将把奖杯带回 CrowdStrike 总部并将其摆放在显眼地方。

消息来源: Techcrunch

9 华为HarmonyOS NEXT对Webview加入了风险网站检查API

ArkTS API 11+ 可以启用检查网站安全风险的功能。开发文档显示违规和诈骗网站的检查是默认启用的，不能通过此接口关闭；风险网站的检查是默认关闭的，可以通过此接口开启或关闭。
违规和诈骗网站的检查会发送 URL 哈希前缀和网站域名到服务器做检测，风险网站的检查会发送 URL 哈希前缀和脱敏 URL（删除 URL 的查询参数）到服务器做检测。

消息来源: HarmonyOS NEXT开发文档

10 马斯克称X平台“或遭大规模网络攻击”，与特朗普的访谈推迟

马斯克当地时间8月12日在社交媒体平台X发文称，似乎该平台“遭大规模拒绝服务（DDoS）攻击，我们正努力阻止它”。马斯克表示，与特朗普的访谈直播将于美东时间12日晚20时30分开始，并减少听众人数，将在之后发布未经编辑的访谈音频内容。
马斯克对特朗普的采访原定于美东时间8月12日晚20时（北京时间8月13日上午8时）开始。
界面新闻 | Elon Musk
TheVege称该公司的一位消息人士证实，并没有DDOS攻击，X平台其他业务均正常，马斯克骗人的概率为99%。

消息来源: TheVerge

11 研究人员警告，过多的迷因和“回复全部”电子邮件对气候有害

一项研究发现，存储在云服务器中的绝大部分数据都是“黑暗数据”，即只使用一次后就再也没有被访问过。像是梗、表情包和笑话等都存储在某个数据中心中，消耗能源。
拉夫堡大学的研究人员发现公司使用的数据中有68%永远不会再次使用，并估计个人数据也是如此。一张照片虽然不会产生巨大的影响。但如果手机中所有的照片累积起来，在能源消耗方面会产生相当大的影响。此外，由于用户数据也存储在云中，云运营商和科技公司有经济动机阻止人们删除垃圾数据。
因此，研究人员建议人们少发送无意义的电子邮件，并避免使用“回复所有”按钮”。一个常见的说法是，每封标准电子邮件相当于4克的碳排放。如果考虑到人类所拥有的“旧数据”数量，比如所有的数字照片，那么累积起来将产生的负面影响将不可忽视。

消息来源: Slashdot

12 五成求职者使用人工智能生成简历

约有50%的求职者正在使用人工智能撰写简历、求职信和完成评估，在本已紧张的劳动力市场上，低质量的求职简历令雇主和招聘单位不堪负荷。招聘平台Applied CEO孙达拉姆表示，人工智能驱动应用“大量涌现”导致每个职位的求职者数量增加了一倍多。“我们确实看到了数量增加但质量下降的情况，这意味着更难筛选。”许多大型雇主对使用人工智能持零容忍态度，德勤、安永、普华永道和毕马威警告毕业生不要在申请中使用人工智能。人力资源公司Beamery对2500名英国员工的调查，约有46%的求职者正在使用人工智能来搜索和申请职位。创意平台Canva对5000名全球求职者的调查显示，其中45%的人曾使用人工智能来制作或改进简历。

消息来源: 英国金融时报

13 苹果宣布将开放 iPhone 的 NFC 芯片

苹果公司发文宣布，随着 iOS 18.1 发布，开发者将可使用 iPhone 内的安全元件，不通过 Apple Pay 和 Apple 钱包，在他们自己的应用中提供 NFC 无接触数据交换功能。使用新的 NFC 和 SE (安全元件) API，开发者将可提供应用内无接触数据交换，用于店内支付、车钥匙、闭环公交、企业工牌、学生证、家门钥匙、酒店钥匙、商家积分和回馈卡，甚至活动门票等，未来还将支持身份证件。
NFC 和 SE API 将通过即将发布的 iOS 18.1 开发者资源提供给澳大利亚、巴西、加拿大、日本、新西兰、英国和美国开发者，未来还将支持更多地区。

消息来源: 苹果新闻稿

14 高端自行车赛车现在容易受到黑客攻击

研究人员发现，高端自行车赛车的无线变速系统易受黑客攻击，这可能会对环法自行车赛等热门赛事产生影响。美国加州大学圣迭戈分校和美国东北大学的研究团队合作开展了这项研究。他们表示，无线变速系统旨在让骑手更好地控制自行车。但这种现代化也带来新的问题，即黑客漏洞。这些漏洞可能被利用，获得不公平的优势，通过操纵变速或干扰换挡操作，可能导致撞车或受伤。研究人员发现，通过记录无线变速系统的无线指令并重新传输，可以使用“现成的设备”在10米范围内发起攻击。通过有针对性的干扰攻击，还可禁用某辆指定自行车的变速功能。

消息来源: TheVerge

15 谷歌的 AI 搜索让网站面临严峻选择：共享数据或死亡

谷歌现在在搜索页面顶部显示基于人工智能的便捷答案，这意味着用户可能永远不会点击进入那些为这些结果提供数据的网站。但许多网站所有者表示，他们无法承受阻止谷歌人工智能总结他们的内容的后果。据出版商称，这是因为谷歌筛选网络内容以得出人工智能答案的工具与跟踪网页以提供搜索结果的工具是同一个。像网站封锁谷歌的人工智能竞争对手那样封锁谷歌也会妨碍网站在网上被发现的能力。对于出版商来说，这种困境尤其严重，他们面临着一个选择：是将自己的内容提供给人工智能模型使用，而这可能会使他们的网站过时；还是从谷歌搜索这个最大的流量来源上消失。此外，人工智能搜索周四扩展到另外六个国家 (印度、日本、墨西哥、印度尼西亚、巴西和英国)。

消息来源: 彭博社、谷歌博客

16 Geekbench AI 性能基准测试工具发布

流行的基准测试实用程序 Geekbench 推出了新的跨平台工具，用于评估设备在人工智能繁重工作负载下的性能。Geekbench AI 测量设备的 CPU、GPU 和 NPU，以确定其处理机器学习应用程序的能力。为了探索不同的硬件如何响应不同的 AI 相关任务，该工具根据准确性和速度来评估性能，并支持不同的框架，包括 ONNX、CoreML、TensorFlow Lite 和 OpenVINO。Geekbench AI 提供三种评分：全精度、半精度和量化。

消息来源: The Verge、下载测试工具

17 微软在 Windows 11 中取消了 FAT32 分区容量的 32GB 限制

微软今天在最新的 Windows 11 Canary 版本中取消了 FAT32 分区的 32GB 大小限制，现在允许的最大大小为 2TB。微软工程师在开发 Windows NT (Windows 2000) 时决定了此人为限制，对于当时常见的 16MB 容量的移动储存容器完全足够。但如果是在其他操作系统上或通过其他方法格式化的，Windows 系统仍可以读取更大的 FAT32 文件系统。
微软宣布，这一变化将在 Canary 频道中的 Windows 11 Insider Preview Build 27686 中引入，并在稍候推送至稳定版。但是，这一变化仅适用于format 指令，基于图形界面的 Windows 磁盘格式化工具对 FAT32 文件系统仍然具有相同的人为 32GB 大小限制。

消息来源: Bleeping Computer，微软博客

18 开源下载器开发者被跨省，因被用于诈骗

开源下载工具 Aria 的开发者清空 Github 代码库。该开发者称“因Aria被诈骗份子使用，导致我被跨省，因此本项目源码永久删除。”
Aria是一个文件下载管理开源项目，截至目前，该项目有5.5k个Star。

消息来源: AriaLyy commit | 风向旗参考快讯

评论:

工具/软件推荐

Docker-OSX

快速使用 Docker 启动一个 MacOS 实际上并没有那么快

GPT-SoVITS

早些时候大火的 GPT-SoVITS 近期发布了 V2 版本，新增了：

• 对低音质参考音频合成出来音质更好
• 底模训练集增加到5k小时，zero shot性能更好音色更像，所需数据集更少
• 增加韩粤两种语言，中日英韩粤5个语种均可跨语种合成
• 更好的文本前端：持续迭代更新，V2中英文加入多音字优化
  相比V1，V2对训练集的还原更好，但也更容易学习到训练集中的负面内容
  推荐与 RefAudioEmoTagger 项目一起使用，基于emotion2vec对输入的音频进行情绪八分类（生气、厌恶、恐惧、开心、中立、其他、难过、吃惊）或emotion2vec+large对输入的音频进行情绪进行五分类（生气、开心、中性、伤心、未知）
  GPT-SoVITS指南

追踪

阿里云上海可用区N网络故障,疑似绝区零玩家过于热情

Bilibili技术于8月6日发布文章: 7.2 我们机房断网了！ 表示当时的宕机是由于物理光缆中断导致的,同时详细讲述了处理方案以及Bilibili的多活技术.