40s 新闻速递
- 美国新法拟让手机用户侧载 App,苹果急忙致信称“太危险”
- 谷歌有意收购网络安全公司 Mandiant 以对抗微软 Azure
- 探月工程总设计师:中国争取在月球开通 WiFi
- 苹果 1.8 米连接线卖 949 元
- 微信内测半屏小程序
- 继英伟达之后,三星也遭黑客组织窃取数据
- TikTok 或将与甲骨文达成数据存储协议
- iPhone 13 Pro 苍岭绿亮相 友商三星发声
- Android 新功能上线:可释放 60% 存储空间
- Firefox 98 发布
- Linux 内核发现易于利用的 dirty pipe 漏洞
- Google Chrome 100 Beta 发布
- Visual Studio 2022 v17.1.1 发布,修复多个漏洞
- React 18 首个 RC 版本发布
行业资讯
美国新法拟让手机用户侧载 App,苹果急忙致信称“太危险”
据报道,苹果公司一直认为,iPhone 手机用户的软件侧载行为会带来安全风险,但美国国会的一些议员认为,苹果夸大了这种安全隐忧。苹果日前向国会议员发出信件,进行了解释和呼吁。
所谓“软件侧载”,指的是用户绕开官方的软件商店,自行在手机系统中安装第三方机构开发的应用软件。
美国国会正准备进行立法,对于手机软件市场进行改革,向第三方开发商开放更大的市场。一旦立法成功,苹果和谷歌两大软件商店未来将受到遏制。
谷歌有意收购网络安全公司 Mandiant 以对抗微软 Azure
网络安全公司 Mandiant 周一股价收盘大涨 16%,此前有报道称,谷歌有兴趣收购该公司。Mandiant 的市值约为 52.5 亿美元,Mandiant 此前曾隶属于 FireEye 旗下,后被出售。FireEye 帮助微软发现了去年攻击政府系统的 SolarWinds 黑客。
探月工程总设计师:中国争取在月球开通 WiFi
中国探月工程四期开始实施,主要目标是在月球南极建一个月球科研站的基本型。全国政协常委、中国探月工程总设计师吴伟仁表示,月球科研站上将来可能有 WiFi,而且,未来国际月球科研站有可能作为深空探测的中转站。
苹果 1.8 米连接线卖 949 元
3 月 9 日凌晨,苹果春季发布会推出全新外接显示器 Studio Display,该产品随附一根 1 米长的雷雳 4 Pro 连接线。根据苹果官网显示,新上架长 1.8 米的雷雳 4 Pro 连接线,售价 949 元。此外,还即将推出一根 3 米长的,售价 1169 元。
微信内测半屏小程序
微信小程序官方开发文档近日上线了一个新功能,从基础库 2.20.1 开始,将支持“半屏小程序”:当小程序需要打开另一个小程序让用户进行快捷操作时,可将要打开的小程序通过半屏的形态快速拉起。
目前该功能处于内测阶段,根据调用流程,2.23.1 以下版本基础库,开发者需要在全局配置 app.json 的 embeddedAppIdList 字段中声明需要通过半屏形态打开的小程序,若不配置将降级为普通的小程序跳转小程序。2.23.1 及以上版本起无需配置。
继英伟达之后,三星也遭黑客组织窃取数据
继不久前英伟达内网遭遇黑客组织 Lapsus$ 入侵,导致约 1TB 的相关数据外泄之后,本周,韩国科技巨头三星电子也被该黑客组织盯上了,并被泄露了大量机密数据,包括生物特征解锁设备算法、部分基础服务源代码、乃至来自高通的机密源代码。
三星电子在当地时间 3 月 7 日发布内部公告称,在发现用户数据或遭泄露的漏洞后,立即启动全司信息保护中心和负责移动终端的 MX 部门安全小组加强保安系统等加以应对。经确认,泄露的信息中包括 Galaxy 驱动所需部分源代码,但不包括员工和用户个人信息,公司业务正常不受影响,并为引发公众担忧致歉。
TikTok 或将与甲骨文达成数据存储协议
据路透社报道,相关消息人士透露,TikTok 即将与甲骨文达成协议,在后者服务器上存储美国用户的数据。
据悉,甲骨文将把 TikTok 的所有美国用户数据存储在甲骨文的数据服务器上,成立一个由数百人组成的美国数据管理团队,作为美国用户信息的「看门人」。这两家公司正在讨论一种结构,在这种结构下,美国数据管理团队将不受 TikTok 的控制或监督。
iPhone 13 Pro 苍岭绿亮相 友商三星发声
在苹果 iPhone 13 系列苍岭绿配色发布之后,三星美国官方账号在社交平台发声,称“我们由衷地感到受宠若惊”,暗示苹果新出的绿色版本 iPhone 是从三星这里汲取的灵感。
Android 新功能上线:可释放 60% 存储空间
Google Play 产品经理 Lidia Gaymond 宣布,谷歌为 Android 操作系统开发了一个名为 “App Archiving” 的功能,该功能旨在解决 64GB 存储空间不足的问题。谷歌介绍,使用 App Archiving 可以释放多达 60% 的存储空间。
最新技术动态
Firefox 98 发布
Mozilla 发布了 Firefox 98。
主要更新内容
- 优化下载流,不再每次都提示,文件将会自动下载;
- 可选搜索引擎变更;
- 为特定文件类型设置打开应用;
- 安全修正等
Linux 内核发现易于利用的 dirty pipe 漏洞
Web 托管公司 IONOS 的 Max Kellermann 在多次收到客户投诉日志服务器上的日志文件损坏之后展开了调查,发现 Linux 内核存在一个高危漏洞,与数年前曝出的 DirtyCow 提权漏洞类似,但更容易利用。他将该漏洞命名为 irty pipe。
dirty pipe 存在于 Linux 5.8 之后的版本中,是未初始化变量导致的,它允许任何人向任意文件写入数据,即使文件是 O_RDONLY 或不可改变。它能被用于向任意进程注入代码。Linux 5.16.11、5.15.25 和 5.10.102 修复了该漏洞。
Google Chrome 100 Beta 发布
Google 在 Chromium 博客文章中写道:
"Chromium 100 将是最后一个默认支持未减少的用户代理字符串(UA)的版本(以及相关的 navigator.userAgent、navigator.appVersion 和 navigator.platform DOM API)。允许网站测试 User-Agent 的起源试验将于 2022 年 4 月 19 日结束。在该日期之后,用户代理字符串将逐渐减少"。
Visual Studio 2022 v17.1.1 发布,修复多个漏洞
Visual Studio 2022 v17.1.1 正式发布,更新内容如下:
来自开发者社区
- 修复了当在自定义命令中使用 CONFIG 时,17.1.0 版本中 CMake->vcxproj 的回归问题
- 修复了 VSSDK API 的故障,该问题会引发 IDE 崩溃或挂起
安全
- CVE-2020-8927:NET 5.0 和 .NET Core 3.1 中存在一个远程代码执行漏洞,其中在 1.0.8 之前的 Brotli 库版本中存在缓冲区溢出。
- CVE-2022-24464:在分析某些类型的 http 表单请求时,.NET 6.0、.NET 5.0 和 .NET CORE 3.1 中存在拒绝服务漏洞
- CVE-2022-24512:.NET 6.0、.NET 5.0 和 .NET Core 3.1 中存在远程代码执行漏洞,.NET Double Parse 例程中发生堆栈缓冲区溢出。
- CVE-2021-3711:OpenSSL 中存在潜在的缓冲区溢出漏洞,该漏洞由 Git for Windows 导致,将 Git for Windows 更新到版本 2.35.1.2 可解决此问题。
React 18 首个 RC 版本发布
React 18 首个 RC 版本已发布。按照计划,正式版将于 2~4 周后推出。
React 18 引入了 “并发渲染 (concurrent rendering)” 机制,它支持 React 同时准备多个版本的 UI。这个机制主要在幕后进行,但它为 React 启发了非常多新的可能性,以提升应用程序的真实与感知性能。
此外,React 18 还针对现有应用程序提供了渐近的采用策略。
主要更新内容
- 客户端渲染 API 的更新
- 服务器端渲染 API 的更新
- 自动批处理 (Automatic Batching)
- 更新严格模式 (Strict Mode)
- 不再支持 IE 浏览器
- 更新以删除 “setState on unmounted component” 警告
- Suspense 不再需要 fallbackprop 来捕捉
- 组件现在可以在未定义的状态下进行渲染
- 弃用 renderSubtreeIntoContainer
- StrictMode 更新为默认情况下不会静默双重日志记录