15 年未被修补的 Python 漏洞；苹果放弃 600 万增产计划；新恶意程序能感染 Windows ｜思否周刊

SegmentFault 思否

40S 新闻速递

• 存在 15 年未被修补的 Python 漏洞，影响超 35 万个项目
• 国行 iPhone 14 存在重大设计缺陷，苹果放弃 600 万增产计划
• 硅谷巨头集体向 Tiktok 开火
• 新恶意程序能感染 Windows、Linux 和 FreeBSD
• 伦敦警方确认一名与《GTV6》泄露相关的 17 岁少年被捕
• 苹果 10 月新品发布会或取消
• Mozilla 向科技巨头 “开火”，指责谷歌、微软垄断浏览器市场
• 因法律问题，Fedora 禁用 Mesa 的 H.264 / H.265 / VC1 VA-API 支持
• GNOME 43 发布
• Rust 1.64.0 发布
• Linux 6.0 发布
• Linux 6.1 合并补丁加入对 Rust 的初步支持
• Qt 6.4 正式发布

SegmentFault 思否

行业资讯

存在 15 年未被修补的 Python 漏洞，影响超 35 万个项目

安全公司 Trellix 研究人员 Kasimir Schulz 在对项目研究中发现了一个 Python 目录遍历漏洞。他指出，开发人员很容易无意中将漏洞包含在自己的代码中。经过进一步分析，他确定这是 CVE-2007-4559 造成的，这是 2007 年就披露的 Python tarfile 包中存在 15 年的 N day 漏洞。实际的漏洞来自使用未经处理的 tarfile.extract() 或 tarfile.extractall() 的内置默认值的两三行代码。在调用 tarfile.extract() 或 tarfile.extractall() 之前未能编写任何安全代码来清理成员文件会导致目录遍历漏洞，从而使不良行为者能够访问文件系统。Trellix 估计有超过 35 万个易受攻击的存储库，其中许多被用于帮助开发人员提升效率的机器学习工具（如 GitHub Copilot）使用。这种自动
化工具依赖于来自数十万个存储库的代码来提供 “auto-complete” 选项。

漏洞报告详情：https://www.trellix.com/en-us/about/newsroom/stories/research/open-source-intelligence.html

国行 iPhone 14 存在重大设计缺陷，苹果放弃 600 万增产计划

一些用户抱怨 iPhone 14 Pro 在充电时随机重启。该问题在几天前已经出现，包括使用 MagSafe 或 Lightning 线缆充电。也有用户称，“这种情况仅在电池充电 90-95%（尤其是93%）并且手机处于空闲状态时才会发生。到目前为止，唯一能做的事情（截至目前两晚没有重新启动）是禁用后台应用程序刷新。”还有大量用户称，收到苹果 iPhone 14 Pro/Max 国行 Bug 卡槽版：只能使用单 SIM 卡。当然，这可能还不是最严重的问题，有不少网友也遇到一个更严重的问题：紫色版本的 iPhone 14 Pro 后壳会掉漆。

据知情人士透露，由于需求下滑，苹果放弃了 iPhone 的增产计划。知情人士称，苹果公司已告知供应商，取消在今年下半年将 iPhone 14 系列产品的组装量增加到 600 万部。该公司计划在此期间生产 9000 万部手机，与去年的水平大致相当，符合苹果今年夏天最初的预测。 

硅谷巨头集体向 Tiktok 开火

在近期刚落下帷幕的美国科技界年度编码大会 Code Conference 现场，硅谷科技巨头们不约而同地向 TikTok 开火。Google CEO Sundar Pichai 称：「TikTok 发展速度太快了，要知道 3 年前我们根本没有人在讨论它」，而它现在已经壮大为 Google 旗下视频平台 YouTube 的有力竞争对手。Snapchat 首席执行官 Evan Spiegel 指出，TikTok 通过花费「数十亿美元」收买创作者和用户来抢占市场份额，这样的产品算不上科技创新的产物。

苹果 CEO Tim Cook 也在谈及新兴社交媒体平台发展时表示：「我们（苹果）制造的手机，从来不会令用户无脑、无限制地沉迷刷屏」。纽约大学商学院教授 Scott Galloway 用一句话总结了这场年度科技互联网盛事：到目前为止，Code 大会只有两个议题：一个是 Tik，另一个是 Tok。

新恶意程序能感染 Windows、Linux 和 FreeBSD

安全公司 Lumen 研究人员发现了一种从未见过的跨平台恶意程序，能感染 Windows 和 Linux 设备，包括小型办公室路由器、FreeBSD 盒子和大型企业服务器。研究人员将该恶意程序命名为 Chaos，因为这个单词反复出现在恶意程序的函数名、证书和文件名中。它最早可能是在 4 月 16 日出现的，之后几个月感染了数以百计的设备。Chaos 的独特之处是设计支持 ARM、Intel(i386)、MIPS 和 PowerPC 等架构，支持 Windows 和 Linux 操作系统，它只通过已知的 CVE 漏洞，利用暴力破解和窃取的 SSH 密钥进行传播。Chaos 的感染主要集中在欧洲地区。

伦敦警方确认一名与《GTV6》泄露相关的 17 岁少年被捕

伦敦警方官方 Twitter 账号证实在牛津郡逮捕了一名 17 岁少年，其罪名与黑客攻击相关。因为嫌疑人尚未成年，因隐私规定警方没有透露更多细节。多家媒体报道称，这位黑客涉嫌入侵了《侠盗猎车手 6（GTV6）》开发商 Rockstar North 泄露了正在开发的游戏测试视频，以及入侵了打车软件巨头 Uber，他被认为与 Lapsus$ 黑客组织有关联，而早在今年上半年 BBC 报道称一名 16 岁的牛津少年（aka White 或 Breachbase） 是该黑客组织的主谋之一，目前尚不清楚是否是同一人。

苹果 10 月新品发布会或取消

据 Bloomberg 记者 Mark Gurman 报道，苹果可能将会通过在网站上发布新闻稿或者与指定媒体的简报会，而不是通过发布会来发布其 2022 年的剩余产品。苹果将在 10 月发布的新品包括：新的 iPad Pro、Mac mini 以及 14 英寸和 16 英寸 MacBook Pro 。此前，苹果也曾通过新闻稿发布产品，例如 AirPods Max 和最初的 AirPods Pro。

Mozilla 向科技巨头 “开火”，指责谷歌、微软垄断浏览器市场

Firefox 开发商 Mozilla 近日发布了一份研究报告，全文长达 66 页，主题是探讨为什么浏览器对互联网至关重要，以及操作系统如何阻碍了它们的发展。

Mozilla 在报告中指出，包括谷歌、亚马逊、Facebook、苹果和微软在内的 “巨头” 构建了各自的「围墙花园」 (Walled Garden)，他们通过各种方式引导用户使用各自平台的默认浏览器。这些行为包括限制发现独立应用、在操作系统捆绑自家的浏览器并在主屏幕或快捷栏设为默认项、增加更换默认浏览器的复杂度、在显眼位置引导用户将自家浏览器设置为默认项等。很显然，大多数用户不会主动地更改这些默认浏览器（尤其是这些操作系统不能便捷地更换默认浏览器），因此他们没有意愿采取额外的行动去寻找或发现替代不太知名的浏览器。

因法律问题，Fedora 禁用 Mesa 的 H.264 / H.265 / VC1 VA-API 支持

Fedora 的 Mesa 包已经构建了完整的 VA-API 支持（Video Acceleration API 是一个开源库和 API 规范，它提供了对视频处理图形硬件加速能力的访问。)，但由于法律（专利）原因，Fedora Linux 37 正在删除其 H.264 / H.265 / VC1 加速支持。

该变化发生在半个月前，Fedora 从 Mesa VA-API 构建中移除了一系列 H.264 / H.265 / VC1 支持，并发表评论称：“我们对此没有法律批准，以前它是 “意外发货” 的。”

对于使用带有开源驱动程序的 GPU （主要是 AMD），并使用它来加速 H.264、H.265 或 VC1 解码的 Fedora Linux 用户来说，将不得不退回到使用基于 CPU 的解码，或者依赖非官方 / 第三方 Mesa 构建。这会影响 Fedora Workstation 的常见用例，例如观看视频、内部游戏流，参加在线会议等等。

SegmentFault 思否

最新技术动态

GNOME 43 发布

时隔6个月，GNOME 推出了代号为“Guadalajara”的GNOME 43版本，以表彰 GUADEC 2022 组织者所做的工作。该版本带来了重新设计的系统状态菜单，允许快速更改常用设置，以前需要深入菜单的设置现在可以通过单击按钮完成。
详情查看：https://release.gnome.org/43/

Rust 1.64.0 发布

Rust 团队发布了最新的1.64版本，该版本对语言、编译器、库、稳定API等进行了更新，在语言层面，例如允许带有可变引用或允许类型的图元的联盟、编译器方面，添加任天堂Switch作为第3级目标，库方面，移除了 compare-exchange内存排序等。
详情查看：https://github.com/rust-lang/rust/releases/tag/1.64.0

Linux 6.0 发布

Linus Torvalds 在内核邮件列表上宣布发布  Linux 6.0。主要新特性包括：改进 ACPI 处理和电源管理；一系列 io_uring 改进，支持 XFS 文件系统缓冲写入，Zero-copy 网络传输，基于 io_uring 的块驱动机制，运行时验证子系统；等等。更多可浏览 LWN 概况一和二。
详情查看：https://lkml.iu.edu/hypermail/linux/kernel/2210.0/00685.html

Linux 6.1 合并补丁加入对 Rust 的初步支持

初步支持 Rust 语言的首批补丁合并到了 Linux 6.1 中。Linux 6.0 发布之后，Linux 6.1 合并窗口开启，持续两周。Rust-for-Linux 的初步支持大致来自四个领域：Kernel 内部(kallsyms expansion for Rust symbols, %pA format)；Kbuild 基础设施 (Rust 构建规则和支持脚本)；支持初步最简可行构建所需的 Rust crates 和绑定；Rust kernel 文档和示例。

Qt 6.4 正式发布

该版本引入了对新平台的支持，把 WebAssembly 的支持从技术预览中移除，带来了 Qt for WebAssembly。此外还带来了众多新功能，例如 Qt Quick (TP) 的 iOS 样式、Qt HTTP Server (TP)等。面向Web组件平台的应用程序可以在大多数现代Web浏览器中运行，并且可以像任何其他 Web 内容一样轻松分发。凭借 Qt Quick 和 Qt Quick 3D 近乎原生的性能以及丰富的 UI 和 3D 功能，现在可以轻松构建需要大量数据处理和苛刻可视化的 Web 解决方案。
详情查看：https://www.qt.io/blog/qt-6.4-released

- END -

关注公众号：拾黑（shiheibook）了解更多

赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/