[已修复] 研究者发现在已知 Arc 用户 ID 后,可以利用 Arc Boosts 功能在用户访问网站时执行任意代码。
研究者还发现 Arc 浏览器会在用户访问网站时向 Firebase 查询用户创建的 Arc Boosts。这会泄露用户访问网站地址的信息,也违反 Arc 浏览器的隐私政策。
https://kibty.town/blog/arc/
CVE: CVE-2024-45489
#Arc #Security
研究者还发现 Arc 浏览器会在用户访问网站时向 Firebase 查询用户创建的 Arc Boosts。这会泄露用户访问网站地址的信息,也违反 Arc 浏览器的隐私政策。
https://kibty.town/blog/arc/
CVE: CVE-2024-45489
#Arc #Security
Unix 打印套件 CUPS 存在任意代码执行漏洞。虽然目前尚无修复版本发布,但各大发行版大多已发布打了修正补丁的版本。
建议用户参考 [1] 在自己的设备上检查
- 文章作者建议立即从计算机移除 CUPS 套件。
- 作者还提到,由于 CUPS 项目消极应对此严重漏洞的报告,作者不得已将其公开。
- 作者还提到,其报告的漏洞信息在另外的站点被泄露,说明 CERT 内部人士可能已被渗透。
CVE: CVE-2024-{47076,47175,47176,47177}
evilsocket.net/~
1. redhat.com/~
EDIT 9/30: 添加关于发行版修复和 systemd 服务检查的信息。感谢订户提出。
#CVE #CUPS
建议用户参考 [1] 在自己的设备上检查
cups-browsed system 服务是否运行;如果正在运行的话,将其停止并禁用。- 文章作者建议立即从计算机移除 CUPS 套件。
- 作者还提到,由于 CUPS 项目消极应对此严重漏洞的报告,作者不得已将其公开。
- 作者还提到,其报告的漏洞信息在另外的站点被泄露,说明 CERT 内部人士可能已被渗透。
CVE: CVE-2024-{47076,47175,47176,47177}
evilsocket.net/~
1. redhat.com/~
EDIT 9/30: 添加关于发行版修复和 systemd 服务检查的信息。感谢订户提出。
#CVE #CUPS
Cloudflare 推出 security.txt 生成器。
security.txt 是一个用于标示网站安全政策的标准 (RFC9116)。
https://blog.cloudflare.com/security-txt/
1. https://securitytxt.org/
#Cloudflare #Securitytxt
security.txt 是一个用于标示网站安全政策的标准 (RFC9116)。
https://blog.cloudflare.com/security-txt/
1. https://securitytxt.org/
#Cloudflare #Securitytxt
The Cloudflare Blog
Enhance your website's security with Cloudflare’s free security.txt generator
Introducing Cloudflare’s free security.txt generator, empowering all users to easily create and manage their security.txt files. This feature enhances vulnerability disclosure processes, aligns with industry standards, and is integrated into the dashboard…
由朝夕光年运营的《初音未来:缤纷舞台》宣布开放预约。
App Store 显示 [1],游戏预计于 2025/3/27 上线。
- https://pjsk.nvsgames.cn/
- https://pjsk.biligame.com/cywl
- https://www.bilibili.com/video/av113084341489532/
1. https://apps.apple.com/cn/app/_/id1554443522
linksrc: https://www.tgoop.com/yingyoushadiao/11871
#Nuverse #ProjectSekai
App Store 显示 [1],游戏预计于 2025/3/27 上线。
- https://pjsk.nvsgames.cn/
- https://pjsk.biligame.com/cywl
- https://www.bilibili.com/video/av113084341489532/
1. https://apps.apple.com/cn/app/_/id1554443522
linksrc: https://www.tgoop.com/yingyoushadiao/11871
#Nuverse #ProjectSekai
pjsk.nvsgames.cn
初音未来:缤纷舞台 - 风靡全球的角色养成音乐手游
「“世界”,是一个可以找到真正心愿的地方。」 - 初音未来
游戏讲述了五组热爱音乐的少年少女们误打误撞地进入由心愿诞生的虚拟世界,在初音未来等虚拟歌手们的帮助下,找到真正心愿的故事。
游戏中你将邂逅「人气虚拟歌手」,获得「耳目一新的绝佳音游体验」,收听「丰富的人气 VOCALOID 曲库」,享受「视听一体的感官盛宴」,在「虚拟 LIVE」中结识朋友,还有更多惊喜在等你发掘。
快和虚拟歌手们一起,发掘少年少女们的心愿,登上「世界」的舞台吧!
【初音未来携手人气虚拟歌手驾到! 】
和初音未来、镜音连、镜音铃…
游戏讲述了五组热爱音乐的少年少女们误打误撞地进入由心愿诞生的虚拟世界,在初音未来等虚拟歌手们的帮助下,找到真正心愿的故事。
游戏中你将邂逅「人气虚拟歌手」,获得「耳目一新的绝佳音游体验」,收听「丰富的人气 VOCALOID 曲库」,享受「视听一体的感官盛宴」,在「虚拟 LIVE」中结识朋友,还有更多惊喜在等你发掘。
快和虚拟歌手们一起,发掘少年少女们的心愿,登上「世界」的舞台吧!
【初音未来携手人气虚拟歌手驾到! 】
和初音未来、镜音连、镜音铃…
英国移交查戈斯群岛主权至毛里求斯,ccTLD .io 或将被废弃。
- io 是 ISO 分配给英属印度洋领地 (British Indian Ocean Territory, BIOT) 的国家编码; .io 亦被分配为此地区的 ccTLD。
- 由于 IO 在计算机概念中的重要性 (Input/Output),.io 域名被大量科技类企业及站点所使用。
- 在 .su (前苏联) 和 .yu (南斯拉夫) 的废弃乱象后,IANA 出台了更严格的 ccTLD 废弃流程,而这套流程即将适用于 .io [1]。
theverge.com/~
1. every.to/~
#io #ccTLD
- io 是 ISO 分配给英属印度洋领地 (British Indian Ocean Territory, BIOT) 的国家编码; .io 亦被分配为此地区的 ccTLD。
- 由于 IO 在计算机概念中的重要性 (Input/Output),.io 域名被大量科技类企业及站点所使用。
- 在 .su (前苏联) 和 .yu (南斯拉夫) 的废弃乱象后,IANA 出台了更严格的 ccTLD 废弃流程,而这套流程即将适用于 .io [1]。
theverge.com/~
1. every.to/~
#io #ccTLD
The Verge
How a UK treaty could spell the end of the .io domain
Does this mean the end of itch.io and greenhouse.io?
#PSA: 请立即升级 - Firefox 远程代码执行漏洞。
请升级至 Firefox 131.0.2、Firefox ESR 128.3.1 或 Firefox ESR 115.16.1。
mozilla.org/~
CVE: CVE-2024-9680
CVSS: (Critical)
#Firefox
请升级至 Firefox 131.0.2、Firefox ESR 128.3.1 或 Firefox ESR 115.16.1。
mozilla.org/~
CVE: CVE-2024-9680
CVSS: (Critical)
#Firefox
Mozilla
Security Vulnerability fixed in Firefox 131.0.2, Firefox ESR 128.3.1, Firefox ESR 115.16.1
层叠 - The Cascading
美国法院判决称 Google 在搜索和搜索广告领域实施垄断行为。 - 判决中称,Google 付费给 Apple、Mozilla 及各手机厂商使其设置 Google 为默认浏览器的行为非法。判决中还提到,Google 以 Play Store 要挟手机厂商,要求其在系统商设置自家 App 为默认应用。 - Google 回应称「此判决承认 Google 搜索是最好的搜索引擎,但禁止 Google 使其易于使用」。 - Hacker News 有评论称判决其实对 Google 有利,因为即使 Google…
Google 垄断争议:DOJ 正寻求剥离 Chrome、Android 或 Google Play 等。
Google 发文称 [1] 此举将威胁用户隐私及安全性、戕害美国创新,以及损害生产者和消费者的利益。
theverge.com/~
1. blog.google.com/~
thread: /4578
#Google #DOJ
Google 发文称 [1] 此举将威胁用户隐私及安全性、戕害美国创新,以及损害生产者和消费者的利益。
theverge.com/~
1. blog.google.com/~
thread: /4578
#Google #DOJ
The Verge
A Google breakup is on the table, say DOJ lawyers
Google’s a monopoly, so now what?
层叠 - The Cascading
Twitter(或者说 Elon Musk)将 @x 和 @xAI 两个 ID 强行回收,用于 Twitter 官方及 xAI 公司的账号。两位账号的原用户均称 Twitter 从未与其就此进行任何协商。 https://mashable.com/article/xai-twitter-handle-elon-musk-x #Twitter #xAI
Twitter 强行回收
- 这不是 Elon Musk 时代的 Twitter 第一次强行回收 ID;上次被强行回收的 ID 是
- Elon Musk 在自己的账号描述中写道,「查看
axios.com/~
thread: /4272
#Twitter
@America 用于 Elon Musk 的政治宣传。- 这不是 Elon Musk 时代的 Twitter 第一次强行回收 ID;上次被强行回收的 ID 是
@X 及 @xAI 。 [thread]- Elon Musk 在自己的账号描述中写道,「查看
@America 以了解我为什么支持特朗普竞选总统」axios.com/~
thread: /4272
Axios
Elon Musk uses @america X handle to boost Trump
X owner Elon Musk seized the @America username on the platform, using the account to advocate for Trump against Harris in the 2024 election.
Asahi Linux 现已提供 Vulkan 等支持,用户可以安装 Steam 并进行游戏。
公告中提到的体验良好的测试游戏包括《控制》、《空洞骑士》、《传送门 2》等。
https://asahilinux.org/2024/10/aaa-gaming-on-asahi-linux/
#AsahiLinux #Gaming
公告中提到的体验良好的测试游戏包括《控制》、《空洞骑士》、《传送门 2》等。
https://asahilinux.org/2024/10/aaa-gaming-on-asahi-linux/
#AsahiLinux #Gaming
asahilinux.org
AAA gaming on Asahi Linux - Asahi Linux
Porting Linux to Apple Silicon
WordPress.org (Automattic) 和 WP Engine 的持续争执。
WordPress(.org) 是一套开源博客系统;WP Engine 是一个 WordPress 托管平台。 WordPress.org 创始人亦创立了 Automattic 公司,后者运营 WordPress 托管服务 WordPress.com 等。
techcrunch.com/~
WordPress 方面:
- 九月,WordPress 称 WP Engine 禁用内容版本系统是为了节省托管成本,而非系统存在问题。
- WordPress 称 WP Engine 需要商标许可;由于 WP Engine 提起的诉讼,WordPress 将禁止 WP Engine 用户访问其插件/主题库。晚些时候 WordPress 短暂解除禁制,称提供 WP Engine 时间「建立镜像」以不再无偿享受 WordPress 的服务。
- WordPress.org 用户登录页现在要求用户确认自己与 WP Engine 无关。
一篇讲述 WP Engine 立场的文章:
- 七月,Automattic 向 WP Engine 索要 8% 收入作为许可费用,但 WP Engine 并不需要这样的许可。
- 九月,WP Engine 的律师向 Automattic 发送 Cease & Desist 函要求其停止发表关于 WP Engine 的不实言论及影响 WP Engine 及其员工/客户的关系。
- 文章称 Matt (WordPress 创始人、Automattic CEO)认为 WP Engine 虚构自己被 WordPress 官方背书及 WP Engine 向 WordPress 项目回馈不足的论点都是错误的。
- 文章认为 Matt 不应干涉 WP Engine 禁用内容版本系统的行为,将 WP Engine 称作 WordPress 缩水版的说法是无稽之谈。
- 文章标题表达了一切:「若要 WordPress 活,Matt 必须走」。
#Wordpress #Automattic #WPEngine
WordPress(.org) 是一套开源博客系统;WP Engine 是一个 WordPress 托管平台。 WordPress.org 创始人亦创立了 Automattic 公司,后者运营 WordPress 托管服务 WordPress.com 等。
techcrunch.com/~
WordPress 方面:
- 九月,WordPress 称 WP Engine 禁用内容版本系统是为了节省托管成本,而非系统存在问题。
- WordPress 称 WP Engine 需要商标许可;由于 WP Engine 提起的诉讼,WordPress 将禁止 WP Engine 用户访问其插件/主题库。晚些时候 WordPress 短暂解除禁制,称提供 WP Engine 时间「建立镜像」以不再无偿享受 WordPress 的服务。
- WordPress.org 用户登录页现在要求用户确认自己与 WP Engine 无关。
一篇讲述 WP Engine 立场的文章:
- 七月,Automattic 向 WP Engine 索要 8% 收入作为许可费用,但 WP Engine 并不需要这样的许可。
- 九月,WP Engine 的律师向 Automattic 发送 Cease & Desist 函要求其停止发表关于 WP Engine 的不实言论及影响 WP Engine 及其员工/客户的关系。
- 文章称 Matt (WordPress 创始人、Automattic CEO)认为 WP Engine 虚构自己被 WordPress 官方背书及 WP Engine 向 WordPress 项目回馈不足的论点都是错误的。
- 文章认为 Matt 不应干涉 WP Engine 禁用内容版本系统的行为,将 WP Engine 称作 WordPress 缩水版的说法是无稽之谈。
- 文章标题表达了一切:「若要 WordPress 活,Matt 必须走」。
#Wordpress #Automattic #WPEngine
TechCrunch
WordPress.org bans WP Engine, blocks it from accessing its resources | TechCrunch
WordPress drama went up another notch on Wednesday after WordPress.org banned hosting provider WP Engine from accessing its resources.
层叠 - The Cascading
FTC 宣称将就提前订阅终止费用及终止订阅的冗长流程起诉 Adobe。 文章中,FTC 称 Adobe 的行为违反 Restore Online Shoppers' Confidence Act 之法案。 ftc.gov/~ #FTC #Adobe
FTC 将发布 "Click-to-Cancel" 政策,限制 Adobe 等商家将退订行为复杂化以阻止用户取消订阅的行为。
- 政策的正式名称为 "Negative Option Rule";政策细节参见 [1]。
- "negative option marketing" 指商家将消费者未拒绝促销或取消订阅作为对付费行为之默认同意的一种行为,例如订阅的自动续订、订阅费用提升的自动确认、或者从试用到付费订阅的自动转换等。 [2]
- 大部分政策将在正式发布至 Federal Register 的 180 天后生效。
- 政策内容包括要求线上退订途径便于寻找、退订行为的简便性需要至少达到订阅行为的程度(而不是 Adobe 那样 [3]),以及线上退订途径须不必与虚拟或真人客服沟通(而不是 New York Times 那样 [4])等。
ftc.gov/~
seealso: HackerNews:41858665
thread: /4548
1. ftc.gov/~
2. ftc.gov/~
3. /3382
4. imgur.com/~
linksrc: blog.gslin.org/~
#FTC #Adobe #Customer
- 政策的正式名称为 "Negative Option Rule";政策细节参见 [1]。
- "negative option marketing" 指商家将消费者未拒绝促销或取消订阅作为对付费行为之默认同意的一种行为,例如订阅的自动续订、订阅费用提升的自动确认、或者从试用到付费订阅的自动转换等。 [2]
- 大部分政策将在正式发布至 Federal Register 的 180 天后生效。
- 政策内容包括要求线上退订途径便于寻找、退订行为的简便性需要至少达到订阅行为的程度(而不是 Adobe 那样 [3]),以及线上退订途径须不必与虚拟或真人客服沟通(而不是 New York Times 那样 [4])等。
ftc.gov/~
seealso: HackerNews:41858665
thread: /4548
1. ftc.gov/~
2. ftc.gov/~
3. /3382
4. imgur.com/~
linksrc: blog.gslin.org/~
#FTC #Adobe #Customer
Federal Trade Commission
Federal Trade Commission Announces Final “Click-to-Cancel” Rule Making It Easier for Consumers to End Recurring Subscriptions and…
The Federal Trade Commission today announced a
Apple 提议在最晚 2027 年末将 TLS 证书有效期从 398 日降为 45 日。
PR 发布者 Clint Wilson 为 Apple 在 CA/B 论坛的代表。
https://github.com/cabforum/servercert/pull/553
#CABForum #TLS #Apple
PR 发布者 Clint Wilson 为 Apple 在 CA/B 论坛的代表。
https://github.com/cabforum/servercert/pull/553
#CABForum #TLS #Apple
GitHub
SC-081: Introduce Schedule of Reducing Validity and Data Reuse Periods by clintwilson · Pull Request #553 · cabforum/servercert
Expand Section 4.2.1 to detail allowed data reuse periods for validation data (both for domains/IPs and for everything else in 3.2)
Overall reduction of non-SAN validation reuse from 825 to 366 da...
Overall reduction of non-SAN validation reuse from 825 to 366 da...
[旧闻] Winamp 开源,招致开源协议争议后又删库。
- Winamp 在五月宣布将在九月发布源代码 [1]。
- Winamp 发布源代码使用的协议是 Winamp Collaborative License。协议的 1.0 版本禁止 fork 软件。GitHub 用户指责此协议违反 GitHub 条款。
- Winamp 后又更新协议,允许 fork 但禁止分发修改版,再之后 repo 被删除。
theregister.com/~
1. about.winamp.com/~
[感谢 夜坂雅 提供此消息。]
#Winamp #Opensource
- Winamp 在五月宣布将在九月发布源代码 [1]。
- Winamp 发布源代码使用的协议是 Winamp Collaborative License。协议的 1.0 版本禁止 fork 软件。GitHub 用户指责此协议违反 GitHub 条款。
- Winamp 后又更新协议,允许 fork 但禁止分发修改版,再之后 repo 被删除。
theregister.com/~
1. about.winamp.com/~
[感谢 夜坂雅 提供此消息。]
#Winamp #Opensource
The Register
Opening up the WinAmp source to all goes badly as owners delete entire repo
As badly as the later development of the player itself, really
Bitwarden 桌面版 2024.10.0 引入非 FOSS 协议组件;手机端则早已包含此类组件。
- https://github.com/bitwarden/clients/issues/11611
- https://gitlab.com/fdroid/fdroiddata/-/merge_requests/15353#note_1995132756
[感谢 夜坂雅 提供此消息。]
#Bitwarden #Opensource
- https://github.com/bitwarden/clients/issues/11611
- https://gitlab.com/fdroid/fdroiddata/-/merge_requests/15353#note_1995132756
[感谢 夜坂雅 提供此消息。]
#Bitwarden #Opensource
GitHub
Desktop version 2024.10.0 is no longer free software · Issue #11611 · bitwarden/clients
Pull request #10974 introduces the @bitwarden/sdk-internal dependency which is needed to build the desktop client. The dependency contains a licence statement which contains the following clause: Y...
层叠 - The Cascading
WordPress.org (Automattic) 和 WP Engine 的持续争执。 WordPress(.org) 是一套开源博客系统;WP Engine 是一个 WordPress 托管平台。 WordPress.org 创始人亦创立了 Automattic 公司,后者运营 WordPress 托管服务 WordPress.com 等。 techcrunch.com/~ WordPress 方面: - 九月,WordPress 称 WP Engine 禁用内容版本系统是为了节省托管成本,而非系统存在问题。…
Automattic 向在与 WPEngine 的争执中不支持公司的员工提供辞职补偿;159+ 员工选择辞职。
- Automattic 约有 1700 名左右员工。
- 辞职补偿起初为 $30k 和 6 个月工资的高者,后又提升至 9 个月工资;接收补偿者将不会被 Automattic 重新雇佣,亦被禁止参与 Wordpress 开源项目。
techcrunch.com/~
thread: /4607
#Wordpress #Automattic #WPEngine
- Automattic 约有 1700 名左右员工。
- 辞职补偿起初为 $30k 和 6 个月工资的高者,后又提升至 9 个月工资;接收补偿者将不会被 Automattic 重新雇佣,亦被禁止参与 Wordpress 开源项目。
techcrunch.com/~
thread: /4607
#Wordpress #Automattic #WPEngine
TechCrunch
Automattic offered employees another chance to quit — this time with nine months' severance | TechCrunch
Days after 159 people accepted Automattic CEO Matt Mullenweg’s offer of a six-month severance package to employees who wanted to leave, the company
Greg K-H 从 kernel 维护者列表中移除数位与俄罗斯相关的维护者。
lore.kernel.org/~
- patch 解释称这是由于「合规性要求」。
- 被移除维护者的主要共通点是大多使用 .ru 后缀的邮箱。
- 关于此维护者列表的作用及此 patch 对 kernel 开发的影响,请参见 [seealso]。
seealso: https://www.tgoop.com/CE_Observe/36223
#Linux #RU #US
lore.kernel.org/~
- patch 解释称这是由于「合规性要求」。
- 被移除维护者的主要共通点是大多使用 .ru 后缀的邮箱。
- 关于此维护者列表的作用及此 patch 对 kernel 开发的影响,请参见 [seealso]。
seealso: https://www.tgoop.com/CE_Observe/36223
#Linux #RU #US
Telegram
每日消费电子观察
Linux 内核将数名与俄罗斯联邦相关的贡献者从维护者列表中移除
日前,Linux 内核主要维护者之一 Greg Kroah-Hartman (Greg K-H) 提交了一项不寻常的“文档”更新,将数名具有 <.ru> 顶级域名邮箱的维护者,和一名明确为俄罗斯身份的维护者从 MAINTAINERS(维护者名录)文件除名。
这一提交已于上周日被 Linus Torvalds 拉取并包含于 6.12-rc4 版本的代码中。
Greg K-H 并未详述这项更新的具体原因,仅含糊其辞地表示该更改是“由于某…
日前,Linux 内核主要维护者之一 Greg Kroah-Hartman (Greg K-H) 提交了一项不寻常的“文档”更新,将数名具有 <.ru> 顶级域名邮箱的维护者,和一名明确为俄罗斯身份的维护者从 MAINTAINERS(维护者名录)文件除名。
这一提交已于上周日被 Linus Torvalds 拉取并包含于 6.12-rc4 版本的代码中。
Greg K-H 并未详述这项更新的具体原因,仅含糊其辞地表示该更改是“由于某…
层叠 - The Cascading
Greg K-H 从 kernel 维护者列表中移除数位与俄罗斯相关的维护者。 lore.kernel.org/~ - patch 解释称这是由于「合规性要求」。 - 被移除维护者的主要共通点是大多使用 .ru 后缀的邮箱。 - 关于此维护者列表的作用及此 patch 对 kernel 开发的影响,请参见 [seealso]。 seealso: https://www.tgoop.com/CE_Observe/36223 #Linux #RU #US
Linus Torvalds 在邮件列表支持此移除贡献者之举动,并批判 thread 中的质疑者。
邮件中 Linus 称质疑者缺乏历史知识、是「俄罗斯喷子」 (Russian trolls) 或「疑似水军」。
phoronix.com/~
seealso: https://www.tgoop.com/aosc_os/637
thread: /4615
#Linux #RU #US
邮件中 Linus 称质疑者缺乏历史知识、是「俄罗斯喷子」 (Russian trolls) 或「疑似水军」。
phoronix.com/~
seealso: https://www.tgoop.com/aosc_os/637
thread: /4615
#Linux #RU #US
Phoronix
Linus Torvalds Comments On The Russian Linux Maintainers Being Delisted
Following yesterday's news first featured on Phoronix of several Linux driver maintainers being de-listed from their maintainer positions within the mainline Linux kernel over their connections to Russia, Linus Torvalds has today commented on the matter.