现在我也不知道这频道发了啥了,各位慢慢吃瓜,将就着看

联系我请去 @abc1763613206

友链儿
@cyberElaina
@rvalue_daily
@billchenla
推荐阅读:哔哩哔哩技术 - 2025 B站春晚直播
https://www.bilibili.com/opus/1061113357474463746
后续:clash verge rev 的开发者给 macOS 添加了可执行程序签名验证,然而这个签名验证并没有用(笑)

因为它甚至没有解析 codesign 输出... 直接验证了 codesign 输出有没有包含特定的字符串,所以黑客只要自己签一个恶意 bin 把它检测的字符串全都堆到 identifier 里就可以绕过检测拿到 root 了

(PoC 原图放这里了: clash-verge-service#9

安全检查能写成这样也太草台了,而且这个注释看起来像是 AI 生成的一样... 希望大家都不要用这样的软件
https://mrmrs.cc/

这博客设计好狂野,左上角 Redesign 一按模板就会变
mrmrs.cc
Adam Morse - Designer
Adam Morse - Designer
A collection of work, projects, and writing
Yummy 😋
Clash Verge rev存在提权漏洞 在Mac、Linux和Windows都能进行提权,Mac和Linux下能提权到root,Windows下可以提权到SYSTEM。 此漏洞包括最新发行的版本2.2.4-alpha。 临时解决方案: Windows下打开服务管理,禁用Clash Verge服务; Linux下请通过systemctl停止并禁用clash-verge-service服务; Mac下请在系统设置中关闭名为"won fen"的允许在后台权限自启动项。 via Auraro 🗒
https://t.me/azaneko/5277
Telegram
小桂桂的回忆录 📒
https://t.me/kxxtchannel/962

Clash Verge 的提权漏洞好抽象... 有一个本地 http 接口用来启动 clash,但是发请求的人可以指定 clash 程序路径,然后它不检查程序签名也不检查请求来源直接跑,还是用 root 权限跑 😨

鉴定为后门
继 Next.JS 之后,React Router 7 也出现特定请求头攻击漏洞了

建议升级到 7.5.2 版本

https://grok.com/share/bGVnYWN5_aeb15a42-0757-4c68-92bb-2a73209e07c8
喜欢vibe coding的小朋友们你们好啊
https://deepwiki.com/
Clash Verge rev存在提权漏洞

在Mac、Linux和Windows都能进行提权,Mac和Linux下能提权到root,Windows下可以提权到SYSTEM。

此漏洞包括最新发行的版本2.2.4-alpha。

临时解决方案:
Windows下打开服务管理,禁用Clash Verge服务;

Linux下请通过systemctl停止并禁用clash-verge-service服务;

Mac下请在系统设置中关闭名为"won fen"的允许在后台权限自启动项。


via Auraro

🗒 标签: #Clash
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot
Clash
橘橘橘子汁 & 🍊
原来 C++ 报错也可以说人话 https://developers.redhat.com/articles/2025/04/10/6-usability-improvements-gcc-15
GCC, the GNU Compiler Collection 15.1 released

https://gcc.gnu.org/gcc-15/
你们这群卖麦当劳卡券的指定都有些副业
原来 C++ 报错也可以说人话
https://developers.redhat.com/articles/2025/04/10/6-usability-improvements-gcc-15
Apple向Godot提交了第一方visionOS支援的PR。
https://github.com/godotengine/godot/pull/105628
GitHub
Native visionOS platform support by rsanchezsaez · Pull Request #105628 · godotengine/godot
Dear Godot community,
I'm on Apple's visionOS engineering team, and we would like to contribute Vision Pro support to the Godot engine. This is the first PR that lays the foundation...
小米砍刀部得了MVP!
WakeUp课程表就是躺赢狗!
麦当劳:wcnm
https://mp.weixin.qq.com/s/y0uLUO845xtHTNghNk0Orw
我都不敢想下周一空气得多好,本周末 60 场马拉松。
官方按下智驾“急停键” | 原文
Telegraph
官方按下智驾“急停键”
出品丨虎嗅汽车组 作者丨李赓 头图丨视觉中国 2025年的多次智驾事故风波,最终还是引出了官方的监管动作。 昨晚(4月16日)7点,工业和信息化部装备工业一司在工信部官网上发布了一条标题为《装备工业一司召开智能网联汽车产品准入及软件在线升级管理工作推进会》的公告。 公告中特别“强调”:汽车生产企业需要明确系统功能边界和安全响应措施,不得进行夸大和虚假宣传,严格履行告知义务,切实担负起生产一致性和质量安全主体责任,切实提升智能网联汽车产品安全水平。 措辞虽然比较笼统,但仍明确表达出了官方加强智驾监管的意图。…
OAuth 放钓鱼信息可还行
https://x.com/nicksdjohnson/status/1912439023982834120
X (formerly Twitter)
nick.eth (@nicksdjohnson) on X
Recently I was targeted by an extremely sophisticated phishing attack, and I want to highlight it here. It exploits a vulnerability in Google's infrastructure, and given their refusal to fix it, we're likely to see it a lot more. Here's the email I got:
Before
After
Back to Top