安全警示:著名代理切换扩展 SwitchyOmega 的 Edge 应用商店版本非官方发布且有恶意代码植入,现已被微软确认为恶意软件下架删除。请认准官方 Chrome 发布渠道。
https://github.com/FelisCatus/SwitchyOmega/issues/2410
https://github.com/FelisCatus/SwitchyOmega/issues/2004#issuecomment-667794533
https://github.com/FelisCatus/SwitchyOmega/issues/2410
https://github.com/FelisCatus/SwitchyOmega/issues/2004#issuecomment-667794533
《国家地理》杂志解雇了最后一批撰稿人,著名亮黄框印刷出版物停售
周三,这家总部位于华盛顿的杂志对科学和自然世界进行了 135 年的调查,该杂志又迎来了另一个艰难的阶段,它解雇了所有仅存的撰稿人。
此次裁员是母公司华特迪士尼公司 (Walt Disney Co.) 一系列裁员行动中的最新一次,总共涉及约 19 名编辑人员,他们在 4 月份接到通知,即将面临解雇。文章任务今后将外包给自由职业者或由编辑拼凑。此次削减还取消了该杂志的小型音频部门。
此次裁员是过去 9 个月内的第二次裁员,也是自 2015 年开始一系列所有权变更以来的第四次裁员。9 月,迪士尼对杂志编辑业务进行了一次非同寻常的重组,解雇了六名高级编辑。
该公司在上个月的一份内部公告中表示,为了进一步削减成本,从明年开始,美国的报摊将不再出售这本著名的亮黄色边框印刷出版物。
自 2015 年开始的一系列公司重组以来,该杂志的荣誉地位继续下降,当时该协会同意与 21 世纪福克斯公司建立营利性合作伙伴关系,后者以 7.25 亿美元的价格获得了多数股权。作为福克斯和迪士尼之间 710 亿美元巨额交易的一部分,此次合作于 2019 年纳入迪士尼旗下。
—— 华盛顿邮报
周三,这家总部位于华盛顿的杂志对科学和自然世界进行了 135 年的调查,该杂志又迎来了另一个艰难的阶段,它解雇了所有仅存的撰稿人。
此次裁员是母公司华特迪士尼公司 (Walt Disney Co.) 一系列裁员行动中的最新一次,总共涉及约 19 名编辑人员,他们在 4 月份接到通知,即将面临解雇。文章任务今后将外包给自由职业者或由编辑拼凑。此次削减还取消了该杂志的小型音频部门。
此次裁员是过去 9 个月内的第二次裁员,也是自 2015 年开始一系列所有权变更以来的第四次裁员。9 月,迪士尼对杂志编辑业务进行了一次非同寻常的重组,解雇了六名高级编辑。
该公司在上个月的一份内部公告中表示,为了进一步削减成本,从明年开始,美国的报摊将不再出售这本著名的亮黄色边框印刷出版物。
自 2015 年开始的一系列公司重组以来,该杂志的荣誉地位继续下降,当时该协会同意与 21 世纪福克斯公司建立营利性合作伙伴关系,后者以 7.25 亿美元的价格获得了多数股权。作为福克斯和迪士尼之间 710 亿美元巨额交易的一部分,此次合作于 2019 年纳入迪士尼旗下。
—— 华盛顿邮报
重要/漏洞:腾讯 QQ/TIM 存在本地提权漏洞,攻击者可通过 QQProtect 进程无感提升权限
漏洞编号:CVE-2023-34312
重要等级:重要
影响范围:QQ 9.7.8.29039 — 9.7.8.29039 TIM 3.4.5.22071 — 3.4.7.22084
原理:腾讯QQ子组件 QQProtect 和 QQProtectEngine.dll 存在任意地址写入安全漏洞,由于 QQProtect.exe 没有ASLR(地址空间布局随机化)保护攻击者可以结合两个漏洞在 QQProtect.exe 进程中加载恶意的 DLL,并获取 NT Authority\SYSTEM shell 且攻击过程几乎无感
组件目录:ProgramFiles(x86)%\Common Files\Tencent\QQProtect\bin
处置建议:建议更新程序到最新版本,阻止该组件将会影响程序通信问题
补充:"Write-What-Where" (WWW) 常用于描述某些类型的漏洞攻击,特别是在操作系统的内存管理中。"Write-What-Where"的字面意思就是“写入什么(Write What),写入何处(Write Where)”。
在一个典型的"Write-What-Where"漏洞中,攻击者可以控制两个关键的因素:
写入内容(What):即攻击者可以控制要写入内存的具体数据。
写入位置(Where):即攻击者可以控制数据写入的内存地址。
攻击者利用这种漏洞,可以修改程序的运行方式,或者破坏系统的内存,从而造成严重的安全问题。这可能导致各种严重的后果,如任意代码执行,权限升级等。
相关资料: CVE
漏洞编号:CVE-2023-34312
重要等级:重要
影响范围:QQ 9.7.8.29039 — 9.7.8.29039 TIM 3.4.5.22071 — 3.4.7.22084
原理:腾讯QQ子组件 QQProtect 和 QQProtectEngine.dll 存在任意地址写入安全漏洞,由于 QQProtect.exe 没有ASLR(地址空间布局随机化)保护攻击者可以结合两个漏洞在 QQProtect.exe 进程中加载恶意的 DLL,并获取 NT Authority\SYSTEM shell 且攻击过程几乎无感
组件目录:ProgramFiles(x86)%\Common Files\Tencent\QQProtect\bin
处置建议:建议更新程序到最新版本,阻止该组件将会影响程序通信问题
补充:"Write-What-Where" (WWW) 常用于描述某些类型的漏洞攻击,特别是在操作系统的内存管理中。"Write-What-Where"的字面意思就是“写入什么(Write What),写入何处(Write Where)”。
在一个典型的"Write-What-Where"漏洞中,攻击者可以控制两个关键的因素:
写入内容(What):即攻击者可以控制要写入内存的具体数据。
写入位置(Where):即攻击者可以控制数据写入的内存地址。
攻击者利用这种漏洞,可以修改程序的运行方式,或者破坏系统的内存,从而造成严重的安全问题。这可能导致各种严重的后果,如任意代码执行,权限升级等。
相关资料: CVE
RHEL (Red Hat Enterprise Linux) 是 Red Hat 的付费发行版。
在基于 RHEL 的 CentOS 被更为实验性的 CentOS Stream (Red Hat 称下一版 RHEL 将基于当前的 CentOS Stream)替代后,许多像 Rocky Linux 、AlmaLinux 及 Oracle Linux 等的宣称与 RHEL 二进制兼容的免费发行版如雨后春笋一样出现。它们会使用到 Red Hat 公开发布的 RHEL 源码来构建软件包。
Red Hat 近期发布一篇文章,称 CentOS Stream 将成为唯一公开发布 RHEL 相关源码的地点。换言之, git.centos.org 将不再发布 RHEL 源码更新 [1]。虽然 RHEL 订阅用户可以继续获得这些源码,但他们的订阅协议要求这些源码不得被二次发布 [2]。
对于这些下游发行版而言,这一决定使得他们将无法继续使用 RHEL 源码提供更新。Alma Linux 称将会从 CentOS Stream 及 Oracle Linux 继续获得安全更新 [2];虽然没有提供细节,但 Rocky Linux 也宣称有自信继续为用户提供支持 [3]。软件自由保护组织 (SFC) 则从另一方面批评此决定,称这将使第三方无法有效监督 RHEL 是否遵守 GPL [4]。
Red Hat 于昨日撰文回应 [5],称 RHEL 将一直遵守 GPL,而大部分对此决定的愤怒都来源于不想为 RHEL 付费,或是单纯重新构建 RHEL 软件包的人。在文末,Red Hat 称单纯重新构建软件包的行为对开源公司来说是实实在在的威胁;他们会让开源领域倒退回只有小众爱好者的时代。
1. https://www.redhat.com/en/blog/furthering-evolution-centos-stream
2. https://almalinux.org/blog/impact-of-rhel-changes/
3. https://rockylinux.org/news/2023-06-22-press-release/
4. https://sfconservancy.org/blog/2023/jun/23/rhel-gpl-analysis/
5. https://www.redhat.com/en/blog/red-hats-commitment-open-source-response-gitcentosorg-changes
#CentOS #RHEL
在基于 RHEL 的 CentOS 被更为实验性的 CentOS Stream (Red Hat 称下一版 RHEL 将基于当前的 CentOS Stream)替代后,许多像 Rocky Linux 、AlmaLinux 及 Oracle Linux 等的宣称与 RHEL 二进制兼容的免费发行版如雨后春笋一样出现。它们会使用到 Red Hat 公开发布的 RHEL 源码来构建软件包。
Red Hat 近期发布一篇文章,称 CentOS Stream 将成为唯一公开发布 RHEL 相关源码的地点。换言之, git.centos.org 将不再发布 RHEL 源码更新 [1]。虽然 RHEL 订阅用户可以继续获得这些源码,但他们的订阅协议要求这些源码不得被二次发布 [2]。
对于这些下游发行版而言,这一决定使得他们将无法继续使用 RHEL 源码提供更新。Alma Linux 称将会从 CentOS Stream 及 Oracle Linux 继续获得安全更新 [2];虽然没有提供细节,但 Rocky Linux 也宣称有自信继续为用户提供支持 [3]。软件自由保护组织 (SFC) 则从另一方面批评此决定,称这将使第三方无法有效监督 RHEL 是否遵守 GPL [4]。
Red Hat 于昨日撰文回应 [5],称 RHEL 将一直遵守 GPL,而大部分对此决定的愤怒都来源于不想为 RHEL 付费,或是单纯重新构建 RHEL 软件包的人。在文末,Red Hat 称单纯重新构建软件包的行为对开源公司来说是实实在在的威胁;他们会让开源领域倒退回只有小众爱好者的时代。
1. https://www.redhat.com/en/blog/furthering-evolution-centos-stream
2. https://almalinux.org/blog/impact-of-rhel-changes/
3. https://rockylinux.org/news/2023-06-22-press-release/
4. https://sfconservancy.org/blog/2023/jun/23/rhel-gpl-analysis/
5. https://www.redhat.com/en/blog/red-hats-commitment-open-source-response-gitcentosorg-changes
#CentOS #RHEL
对零基础进步曲线的研究——以音游为载体 - 董浚哲的文章 - 知乎
https://zhuanlan.zhihu.com/p/637231603
https://zhuanlan.zhihu.com/p/637231603
bootcss/bootcdn被发现会给返回的脚本随机加入恶意代码,建议尽快替换
https://www.zhangaiwu.com/sdyj/31135.html
https://www.zhangaiwu.com/sdyj/31135.html
联合调查组经勘察现场,调取监控视频发现,6月1日,学生在食堂吃出疑似为“鼠头”的异物,被涉事食堂工作人员事发当日丢弃。通过查看食堂后厨视频,查阅采购清单,询问涉事食堂负责人、后厨相关当事人、当事学生和现场围观学生等,判定异物不是鸭脖。根据国内权威动物专家对提取的当事学生所拍现场照片和视频进行专业辨识,判定异物为老鼠类啮齿动物的头部。南昌高新区市场监督管理局昌东分局、江西工业职业技术学院未认真调查取证,发布“异物为鸭脖”结论是错误的。
经认定,江西工业职业技术学院对此次事件负主体责任,涉事企业负直接责任,市场监督管理部门负监管责任。南昌市市场监督管理局已吊销涉事食堂食品经营许可证,对涉事企业和法定代表人顶格处罚。
(新华社)
2023年6月15日,Squarespace宣布有意从Google Domains 购买域名注册和相关客户账户。
这对作为顾客的我来说意味着什么?
这对您的谷歌域名帐户没有立即的影响,此时您不需要做任何事情。一旦获得监管批准,交易完成,您将成为Squarespace的客户,您的域名将由Squarespace拥有,并在过渡期后由Squarespace管理。如果适用,在过渡期间,除有限的例外情况外,相关的谷歌工作空间服务将由Squarespace自动管理。如果需要采取进一步行动,Squarespace将直接与您联系。
您的域名注册和DNS委托不会因迁移到Squarespace而受到影响。一旦您成为Squarespace的客户,您就可以通过他们的管理控制台管理其他服务(如可用)。
我需要做什么,接下来会发生什么?
目前你不需要采取任何行动。一旦谷歌和Squarespace之间的交易获得批准,您将收到有关域名过渡的更多信息。
笔者最近接触了一个消息人士,可以提供一些回形针/干燥文化相关的消息,有意做一期访谈,现征集一下问题,读者可以在评论里回复。
问题要求:
1. 尽量不重复,如果发现评论里已经有了你想问的问题,可以点赞(👍);
2. 使用建设性语言,减少无意义沟通;
3. 不涉及到员工个人隐私信息。
考虑到事情的敏感性,并不是所有的问题都可以得到回答,敬请谅解。
问题要求:
1. 尽量不重复,如果发现评论里已经有了你想问的问题,可以点赞(👍);
2. 使用建设性语言,减少无意义沟通;
3. 不涉及到员工个人隐私信息。
考虑到事情的敏感性,并不是所有的问题都可以得到回答,敬请谅解。
💧 #小众软件
OpenAI 发布新版 GPT-4、GPT-3.5,部分降价 25%,以及支持长达 20 页上下文的 GPT-3.5-16K ,旧版本今年 9 月份将被弃用
https://www.appinn.com/openai-api-updates/
Tags: #AI, #业界消息, #OpenAI
OpenAI 发布新版 GPT-4、GPT-3.5,部分降价 25%,以及支持长达 20 页上下文的 GPT-3.5-16K ,旧版本今年 9 月份将被弃用
https://www.appinn.com/openai-api-updates/
Tags: #AI, #业界消息, #OpenAI
小众软件
OpenAI 发布新版 GPT-4、GPT-3.5,部分降价 25%,以及支持长达 20 页上下文的 GPT-3.5-16K ,旧版本今年 9 月份将被弃用 - 小众软件
OpenAI 刚刚在 blog 发布了新文章:Function calling and other API updates,宣布了更新和改进的模型:gpt-4-0613 和 gpt-3.5-turbo-0613,以及 GPT-3.5-16K 版本,16k 上下文意味着该模型现在可以在单个请求中支持约 20
慢讯:Typecho 在6月5日更新了 1.2.1 版本,修复了一些 XSS 漏洞并完善了对 PHP 8.1 的支持,建议所有用户升级。
https://typecho.org/archives/137/
https://typecho.org/archives/137/
重要: 咸蛋面板疑似出现重大漏洞,攻击者可获取管理员账号进行资金提现及导出服务端全部配置和相关服务器详细信息
漏洞原理: 登录后咸蛋面板直接返回了相关用户的登录信息,包括邮箱及明文密码,普通用户访问特定链接通过查阅 userType:0 即可获取管理员账号及加密密码,登录后与管理员权限相同,可执行全部操作,包括进行支付提现和导出配置数据
注意:管理员密码仅用 MD5 加密一遍,安全级别低,攻击者碰撞成本较低
处置建议: 无,建议关机到发布修复补丁
利用难度: 一般,无特殊环境要求
使用情况: 已出现在野利用
漏洞原理: 登录后咸蛋面板直接返回了相关用户的登录信息,包括邮箱及明文密码,普通用户访问特定链接通过查阅 userType:0 即可获取管理员账号及加密密码,登录后与管理员权限相同,可执行全部操作,包括进行支付提现和导出配置数据
注意:管理员密码仅用 MD5 加密一遍,安全级别低,攻击者碰撞成本较低
处置建议: 无,建议关机到发布修复补丁
利用难度: 一般,无特殊环境要求
使用情况: 已出现在野利用
https://www.coolapk1s.com/feed/46740625
QQNT for Android¿
QQNT for Android¿
Coolapk1S
酷安动态
#QQ# #QQ内测#
QQNT_安卓_8.9.63.11355 二测包
安装包 文件大小:305.99 MB [流汗滑稽]
QQNT for Android 官方下载直链:查看链接
QQNT for iOS 加入 Beta 版“QQ”:查看链接
Ps:要加入 Beta 版“QQ”测试,请先在 iPhone、iPad 或 Mac 上安装 TestFlight,然后打开链接。
【免责声明】
⚠️ 所有内测版本,均有聊天记录丢失的风险!!!如有重要的聊天记录,请务必备份再安装此版本,如后期因无内测资…
QQNT_安卓_8.9.63.11355 二测包
安装包 文件大小:305.99 MB [流汗滑稽]
QQNT for Android 官方下载直链:查看链接
QQNT for iOS 加入 Beta 版“QQ”:查看链接
Ps:要加入 Beta 版“QQ”测试,请先在 iPhone、iPad 或 Mac 上安装 TestFlight,然后打开链接。
【免责声明】
⚠️ 所有内测版本,均有聊天记录丢失的风险!!!如有重要的聊天记录,请务必备份再安装此版本,如后期因无内测资…
