XZ 维护者之一 Jia Tan 在 GitHub 上发布的 XZ Utils 5.6.0 and 5.6.1 tarball 中包含了恶意后门代码。
如非特别标注,以下链接中内容均为英文。
==== XZ 方面的信息,以及漏洞分析 ====
oss-security 邮件列表: https://www.openwall.com/lists/oss-security/2024/03/29/4
debian-security-announce 邮件列表: https://lists.debian.org/debian-security-announce/2024/msg00057.html
XZ 主要维护者 Lasse Collin 的声明: https://tukaani.org/xz-backdoor/
FAQ by Sam James: https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
Evan Boehs 的博客: https://boehs.org/node/everything-i-know-about-the-xz-backdoor
Filippo Valsorda: https://bsky.app/profile/filippo.abyssdomain.expert/post/3kowjkx2njy2b
Gynvael Coldwind: https://gynvael.coldwind.pl/?id=782
RHEA 关于时区的分析: https://rheaeve.substack.com/p/xz-backdoor-times-damned-times-and
==== 新闻报道 ====
LWN: https://lwn.net/Articles/967180/
==== 供应商方面的信息,主要是各大发行版和安全公告板 ====
CVE: https://www.cve.org/CVERecord?id=CVE-2024-3094
NVD: https://nvd.nist.gov/vuln/detail/CVE-2024-3094
MSRC: https://techcommunity.microsoft.com/t5/microsoft-defender-vulnerability/microsoft-faq-and-guidance-for-xz-utils-backdoor/ba-p/4101961
GitHub Advisory Database: https://github.com/advisories/GHSA-rxwq-x6h5-x525
Red Hat Customer Portal: https://access.redhat.com/security/cve/CVE-2024-3094
Red Hat Blog: https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
Red Hat Bugzilla: https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2024-3094
Debian Security Bug Tracker: https://security-tracker.debian.org/tracker/CVE-2024-3094
Debian Bug: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1068024
Kali Linux Blog: https://www.kali.org/blog/about-the-xz-backdoor/
SUSE blog: https://www.suse.com/c/suse-addresses-supply-chain-attack-against-xz-compression-library/
SUSE Security: https://www.suse.com/security/cve/CVE-2024-3094.html
SUSE Bugzilla: https://bugzilla.suse.com/show_bug.cgi?id=CVE-2024-3094
openSUSE News: https://news.opensuse.org/2024/03/29/xz-backdoor/
Gentoo's Bugzilla: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2024-3094
Arch Linux News: https://archlinux.org/news/the-xz-package-has-been-backdoored/
Arch Linux Advisories: https://security.archlinux.org/ASA-202403-1
OpenWrt: https://forum.openwrt.org/t/project-statement-about-xz-5-6-1-cve-2024-3094/193250
==== 忙着查资料的被子饼 ====
目前的证据表明这个后门仅影响部分 Debian/Ubuntu/Fedora/openSUSE 的预发布版本,且均已发布回退更新
目前确定曾受影响的发行版:
Debian unstable/testing/experimental between 2024-02-01 and 2024-03-29
Kali Linux between 2024-03-26 and 2024-03-29
Ubuntu noble-proposed/noble-release between 2024-02-26 and 2024-03-29
Fedora 40/41(Rawhide) between 2024-02-27 and 2024-03-29
openSUSE Tumbleweed/MicroOS between 2024-03-07 and 2024-03-28
如非特别标注,以下链接中内容均为英文。
==== XZ 方面的信息,以及漏洞分析 ====
oss-security 邮件列表: https://www.openwall.com/lists/oss-security/2024/03/29/4
debian-security-announce 邮件列表: https://lists.debian.org/debian-security-announce/2024/msg00057.html
XZ 主要维护者 Lasse Collin 的声明: https://tukaani.org/xz-backdoor/
FAQ by Sam James: https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
Evan Boehs 的博客: https://boehs.org/node/everything-i-know-about-the-xz-backdoor
Filippo Valsorda: https://bsky.app/profile/filippo.abyssdomain.expert/post/3kowjkx2njy2b
Gynvael Coldwind: https://gynvael.coldwind.pl/?id=782
RHEA 关于时区的分析: https://rheaeve.substack.com/p/xz-backdoor-times-damned-times-and
==== 新闻报道 ====
LWN: https://lwn.net/Articles/967180/
==== 供应商方面的信息,主要是各大发行版和安全公告板 ====
CVE: https://www.cve.org/CVERecord?id=CVE-2024-3094
NVD: https://nvd.nist.gov/vuln/detail/CVE-2024-3094
MSRC: https://techcommunity.microsoft.com/t5/microsoft-defender-vulnerability/microsoft-faq-and-guidance-for-xz-utils-backdoor/ba-p/4101961
GitHub Advisory Database: https://github.com/advisories/GHSA-rxwq-x6h5-x525
Red Hat Customer Portal: https://access.redhat.com/security/cve/CVE-2024-3094
Red Hat Blog: https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
Red Hat Bugzilla: https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2024-3094
Debian Security Bug Tracker: https://security-tracker.debian.org/tracker/CVE-2024-3094
Debian Bug: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1068024
Kali Linux Blog: https://www.kali.org/blog/about-the-xz-backdoor/
SUSE blog: https://www.suse.com/c/suse-addresses-supply-chain-attack-against-xz-compression-library/
SUSE Security: https://www.suse.com/security/cve/CVE-2024-3094.html
SUSE Bugzilla: https://bugzilla.suse.com/show_bug.cgi?id=CVE-2024-3094
openSUSE News: https://news.opensuse.org/2024/03/29/xz-backdoor/
Gentoo's Bugzilla: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2024-3094
Arch Linux News: https://archlinux.org/news/the-xz-package-has-been-backdoored/
Arch Linux Advisories: https://security.archlinux.org/ASA-202403-1
OpenWrt: https://forum.openwrt.org/t/project-statement-about-xz-5-6-1-cve-2024-3094/193250
==== 忙着查资料的被子饼 ====
目前的证据表明这个后门仅影响部分 Debian/Ubuntu/Fedora/openSUSE 的预发布版本,且均已发布回退更新
目前确定曾受影响的发行版:
Debian unstable/testing/experimental between 2024-02-01 and 2024-03-29
Kali Linux between 2024-03-26 and 2024-03-29
Ubuntu noble-proposed/noble-release between 2024-02-26 and 2024-03-29
Fedora 40/41(Rawhide) between 2024-02-27 and 2024-03-29
openSUSE Tumbleweed/MicroOS between 2024-03-07 and 2024-03-28
😱121😁10👍8🤬4❤3🥰2🤡2
俄罗斯 启动游戏和娱乐设备开发计划,用来顶替索尼/微软/Steam等
https://www.landiannews.com/archives/103142.html
https://www.landiannews.com/archives/103142.html
蓝点网
俄罗斯启动游戏和娱乐设备开发计划 用来顶替索尼/微软/Steam等 – 蓝点网
因战争缘故目前俄罗斯在信息和 IT 产业方面受到多种制裁,商用领域的 PC 和服务器等无法正常购买和进口,民用 […]
😁50🤡21👍7🥱7🥴2🖕2🤔1
106 款受影响,Brother 打印机暂不兼容微软 Win11 更新:无法识别 USB 连接、无法调整设置
https://www.ithome.com/0/759/087.htm
Brother 近日发布支持文档,表示旗下的 106 款打印机并不兼容 Windows 11 系统更新,系统无法识别通过 USB 连接的打印机,此前已连接打印机在更新之后无法更改打印机设置。
https://www.ithome.com/0/759/087.htm
Brother 近日发布支持文档,表示旗下的 106 款打印机并不兼容 Windows 11 系统更新,系统无法识别通过 USB 连接的打印机,此前已连接打印机在更新之后无法更改打印机设置。
😁52🌚9🤡1
每日消费电子观察
谷歌紧急发布 Chrome 更新,修复 Pwn2Own 大赛中报告的两个零日漏洞 https://www.ithome.com/0/758/596.htm 其中一个零日漏洞追踪编号为 CVE-2024-2887,主要存在于 WebAssembly(Wasm)开放标准中,是一个高严重性类型混乱漏洞。 安全专家 Manfred Paul 利用该漏洞制作了一个 HTML 页面,一旦用户感染,可以实现远程执行代码攻击。 第二个零日漏洞追踪编号为 CVE-2024-2886,在 CanSecWest Pwn2Own…
微软重发 Edge 浏览器 123 稳定版:修复兼容性问题和 4 个零日漏洞
https://www.ithome.com/0/759/082.htm
微软 Edge 浏览器 123 稳定版修复以下 4 个漏洞:
CVE-2024-2887:WebAssembly 中的类型混乱
CVE-2024-2886:WebCodecs 中的 Use after free
CVE-2024-2885:Dawn 中的 Use after free
CVE-2024-2883:ANGLE 中的 Use after free
———
2024-03-28 谷歌紧急发布 Chrome 更新,修复 Pwn2Own 大赛中报告的两个零日漏洞
https://www.ithome.com/0/759/082.htm
微软 Edge 浏览器 123 稳定版修复以下 4 个漏洞:
CVE-2024-2887:WebAssembly 中的类型混乱
CVE-2024-2886:WebCodecs 中的 Use after free
CVE-2024-2885:Dawn 中的 Use after free
CVE-2024-2883:ANGLE 中的 Use after free
———
2024-03-28 谷歌紧急发布 Chrome 更新,修复 Pwn2Own 大赛中报告的两个零日漏洞
🤔20👍4😁4
每日消费电子观察
美加州法院裁定,苹果必须面对 AirTag 是“跟踪者武器”的集体诉讼 https://www.ithome.com/0/756/194.htm 法官裁定,尽管苹果公司要求驳回诉讼,但诉讼仍可继续进行。但同时,法官又称“苹果最终可能是对的,加州法律没有要求它采取更多措施,来削弱跟踪者有效使用 AirTag 的能力。在这个早期阶段无法作出决定。”
美国警方示警:盗车团伙日益猖獗,滥用苹果 AirTag 追踪目标车辆
https://www.ithome.com/0/759/060.htm
美国佛蒙特州当局表示已经收到多起车主报告,偷车团队开始滥用苹果的 AirTag,标记想要偷窃的汽车目标,追踪到目标汽车之后偷窃转运到其它国家和地区实现销赃。
———
2024-03-17 美加州法院裁定,苹果必须面对 AirTag 是“跟踪者武器”的集体诉讼
2024-03-16 苹果败诉:AirTag被指助长跟踪行为,隐私安全争议升级
2023-10-16 苹果遭集体诉讼:AirTag 跟踪已导致“多起谋杀案”,可低成本跟踪受害者
2023-05-03 汽车盗窃案上升 548%,纽约市免费发放 500 个苹果 AirTag 遏制态势
2022-06-13 美国警方使用苹果 AirTag 追踪北卡罗来纳州的连环窃贼
攻守转换
https://www.ithome.com/0/759/060.htm
美国佛蒙特州当局表示已经收到多起车主报告,偷车团队开始滥用苹果的 AirTag,标记想要偷窃的汽车目标,追踪到目标汽车之后偷窃转运到其它国家和地区实现销赃。
———
2024-03-17 美加州法院裁定,苹果必须面对 AirTag 是“跟踪者武器”的集体诉讼
2024-03-16 苹果败诉:AirTag被指助长跟踪行为,隐私安全争议升级
2023-10-16 苹果遭集体诉讼:AirTag 跟踪已导致“多起谋杀案”,可低成本跟踪受害者
2023-05-03 汽车盗窃案上升 548%,纽约市免费发放 500 个苹果 AirTag 遏制态势
2022-06-13 美国警方使用苹果 AirTag 追踪北卡罗来纳州的连环窃贼
攻守转换
🤡51😁8👎1
15 秒语音片段就能合成某人声音,OpenAI 小规模开放 Voice Engine 模型 - IT之家
https://www.ithome.com/0/759/095.htm
https://www.ithome.com/0/759/095.htm
Ithome
15 秒语音片段就能合成某人声音,OpenAI 小规模开放 Voice Engine 模型 - IT之家
OpenAI 公司近日发布公告,有限开放 Voice Engine 的访问权限,该模型可以根据某人的 15 秒语音片段创建合成语音。
🤯37👍5🍾4
每日消费电子观察
6499 元起,小米 14 Ultra 手机正式发布:搭载高通骁龙 8 Gen3,支持双向卫星通讯 https://www.ithome.com/0/751/479.htm 6999/8799 元,小米 14 Pro / Ultra 卫星通信钛金属版手机发布 https://www.ithome.com/0/751/483.htm ——— 小米又更新解锁规则了
小米 14 Ultra 钛金属版手机维修备件价格公布:主板 3030 元,屏幕 1690 元
https://www.ithome.com/0/759/078.htm
———
主板 3030 / 6499 ≈ 46%
屏幕 1690 / 6999 ≈ 24% (钛金属版)
屏幕 1350 / 6499 ≈ 20%
后置摄像头(广角)1000 / 6499 ≈ 15%
https://www.ithome.com/0/759/078.htm
———
主板 3030 / 6499 ≈ 46%
屏幕 1690 / 6999 ≈ 24% (钛金属版)
屏幕 1350 / 6499 ≈ 20%
后置摄像头(广角)1000 / 6499 ≈ 15%
🍾37😁13🖕7
美国 商务部更新对华 AI 芯片出口限制
https://www.zaobao.com/realtime/world/story20240330-3234485
修订版的出口限制规则厚达166页,将于4月4日生效。
https://www.zaobao.com/realtime/world/story20240330-3234485
www.zaobao.com.sg
美商务部更新对华AI晶片出口限制
美国星期五(3月29日)修订实施了五个月的对华人工智能(AI)晶片(又称芯片)出口限制,使中国更难以取得美国AI晶片。
🤣72🍾22👏8🤡6🎉3👍2😁2👎1🤬1
每日消费电子观察
《GTA 6》首部预告片 12 月 5 日晚 10 点发布 https://www.ithome.com/0/736/512.htm https://twitter.com/RockstarGames/status/1730587560726892883 IT之家 12 月 1 日消息,R 星确认,《GTA6》首部预告片将在北京时间 12 月 5 日晚 10 点发布。
《GTA 6》被曝跳票导致 Take-Two 股价暴跌,彭博社称业界“担忧过度”
https://www.ithome.com/0/759/136.htm
但随后 Kotaku 更正了此前说法:虽然 2025 年初发售“一度是可能的”,但已不再是《GTA 6》的上市目标,游戏的目标实际上是在 2025 年秋季上市,且仍有可能推迟。
https://www.ithome.com/0/759/136.htm
但随后 Kotaku 更正了此前说法:虽然 2025 年初发售“一度是可能的”,但已不再是《GTA 6》的上市目标,游戏的目标实际上是在 2025 年秋季上市,且仍有可能推迟。
🤔46⚡4
“雷军能不能生产一下相机”登顶微博热搜,网友呼吁小米把价格打下来
https://www.ithome.com/0/759/129.htm
实际上,小米生态链企业小蚁科技曾推出过多款相机产品,其中在 2016 年推出了一款小蚁微单相机 M1,搭载 2016 万像素索尼 IMX269 传感器,M4/3 画幅可换镜头,定价 2199 元,号称是“年轻人的第一台智能微单相机”,但此后就没有了继任者。
———
2016-10-26 微单不是想叫就能叫?索尼要告小蚁微单侵犯商标权
https://www.ithome.com/0/759/129.htm
实际上,小米生态链企业小蚁科技曾推出过多款相机产品,其中在 2016 年推出了一款小蚁微单相机 M1,搭载 2016 万像素索尼 IMX269 传感器,M4/3 画幅可换镜头,定价 2199 元,号称是“年轻人的第一台智能微单相机”,但此后就没有了继任者。
———
2016-10-26 微单不是想叫就能叫?索尼要告小蚁微单侵犯商标权
👍67💩29😁23🤣7🤡4🖕4😱2
消息称微软《我的世界》游戏将推出索尼 PS5 原生版本 - IT之家
https://www.ithome.com/0/759/158.htm
https://www.ithome.com/0/759/158.htm
Ithome
消息称微软《我的世界》游戏将推出索尼 PS5 原生版本 - IT之家
目前索尼游戏商店只有 PS4 版本的《我的世界》,可以通过向后兼容在 PS5 上运行。
🥰44❤2
微软 Windows Server 2025 新变化:引入订阅模式,普及 Hotpatching 方案
https://www.ithome.com/0/759/126.htm
希望为 Windows Server 2025 使用新的 pay-as-you-go 许可的企业必须使用 Azure Arc(一种针对企业工作负载的跨平台管理工具),相关费用将通过 Azure Arc 结算。
https://www.ithome.com/0/759/126.htm
希望为 Windows Server 2025 使用新的 pay-as-you-go 许可的企业必须使用 Azure Arc(一种针对企业工作负载的跨平台管理工具),相关费用将通过 Azure Arc 结算。
👎56🤡23🤮5🥰1👏1
每日消费电子观察
消息称荷兰政府制定秘密行动,以阻止阿斯麦向海外扩张 - IT之家 https://www.ithome.com/0/754/083.htm
荷蘭防ASML出走 擬耗資逾25億歐元改善基礎建設
https://udn.com/news/story/6809/7863795
本月稍早,艾司摩爾執行長韋尼克(PeterWennink)公開抱怨荷蘭的政策,包括計劃取消技術移民的減稅政策,這將使艾司摩爾更難聘雇重要員工。
https://udn.com/news/story/6809/7863795
本月稍早,艾司摩爾執行長韋尼克(PeterWennink)公開抱怨荷蘭的政策,包括計劃取消技術移民的減稅政策,這將使艾司摩爾更難聘雇重要員工。
👍25😁7🤡2
每日消费电子观察
Android 15 新增通知音冷却功能,让群聊轰炸不那么烦人 应用程序的首个通知是正常音量,之后短时间内,来自同一应用的后续通知将逐渐降低音量,但不会完全静音。这可以让用户通过音量区分是同一来源的连续信息,还是其他来源需要注意的新通知。 不过实测中发现,如果停顿间隔足够长(可能不到1分钟),通知音量又会恢复到正常。 Android 15 DP1 预览版已默认启用这一功能,用户也可在设置中关闭。 https://9to5google.com/2024/02/16/android-15-notification…
Android 15 音量调节面板 UI 大改
https://www.ithome.com/0/759/165.htm
根据安卓信息挖掘人 Mishaal Rahman 发现的新变化,Android 15 将带来全新设计的音量面板,调节滑块从细长条变成了粗长条,且支持一键静音。
https://www.ithome.com/0/759/165.htm
根据安卓信息挖掘人 Mishaal Rahman 发现的新变化,Android 15 将带来全新设计的音量面板,调节滑块从细长条变成了粗长条,且支持一键静音。
👍37💩10👎1🖕1
英特尔“Family 6” CPU 时代即将结束
自 90 年代中期采用 P6 微架构的 奔腾 Pro 以来,英特尔一直使用“Family 6”的 CPU ID。Linux 代码仅通过比较不同 model ID 来区分每一代英特尔 CPU。
如今数值即将用尽,英特尔计划在2026年左右改用新的family。由于需要重新设计大量的 CPU ID 检查,英特尔已提交相应的patch。
https://www.phoronix.com/news/Intel-CPU-Family-6-Ending
自 90 年代中期采用 P6 微架构的 奔腾 Pro 以来,英特尔一直使用“Family 6”的 CPU ID。Linux 代码仅通过比较不同 model ID 来区分每一代英特尔 CPU。
如今数值即将用尽,英特尔计划在2026年左右改用新的family。由于需要重新设计大量的 CPU ID 检查,英特尔已提交相应的patch。
https://www.phoronix.com/news/Intel-CPU-Family-6-Ending
Phoronix
Intel "Family 6" CPU Era Coming To An End Soon: Code Suggests Cooper Forest & Adams Lake
Since the mid-90's with the P6 micro-architecture for the Pentium Pro as the sixth-generation x86 microarchitecture, Intel has relied on the 'Family 6' CPU ID
😁48💩5
台灣RISC-V聯盟成立SIG工作組 階段展現推動國內開放架構成果
https://tech.udn.com/tech/story/123153/7865979
由 台灣 物聯網產業技術協會 (TwIoTA) 支持成立的台灣 RISC-V 聯盟 (RVTA),日前宣布成立「Platform SIG」及「 LLM SIG」兩個工作小組,期望透過SIG工作小組的深度交流,促進國內產業、學術及研究單位在RISC-V領域科技應用合作,並且加速RISC-V價值鏈連結,讓台灣產業從研發、設計到應用都能具備導入RISC-V開放架構技術。
https://tech.udn.com/tech/story/123153/7865979
由 台灣 物聯網產業技術協會 (TwIoTA) 支持成立的台灣 RISC-V 聯盟 (RVTA),日前宣布成立「Platform SIG」及「 LLM SIG」兩個工作小組,期望透過SIG工作小組的深度交流,促進國內產業、學術及研究單位在RISC-V領域科技應用合作,並且加速RISC-V價值鏈連結,讓台灣產業從研發、設計到應用都能具備導入RISC-V開放架構技術。
❤34🤡13👍3🖕1
每日消费电子观察
持续 4 个月的“宫斗戏”暂告段落,阿尔特曼重返 OpenAI 董事会 - IT之家 https://www.ithome.com/0/754/626.htm
OpenAI 基金负责人曾是虚构人物,公司也被蒙在鼓中
https://www.ithome.com/0/759/207.htm
OpenAI 发言人明确表示,“据我们所知,不存在 Jacob Vespers 这个人,那份文件也是非法的。” 另一位发言人则透露,OpenAI 方面并不知道是谁提交了这份文件,直到 2023 年夏天有记者询问此事,他们才意识到这起骗局的存在,而这距离文件提交已经过去了好几个月。
https://www.ithome.com/0/759/207.htm
OpenAI 发言人明确表示,“据我们所知,不存在 Jacob Vespers 这个人,那份文件也是非法的。” 另一位发言人则透露,OpenAI 方面并不知道是谁提交了这份文件,直到 2023 年夏天有记者询问此事,他们才意识到这起骗局的存在,而这距离文件提交已经过去了好几个月。
🤯91🤡18🤪12😁7🤔3
微軟提出 DirectSR API 少許運算資源即可流暢執行
https://tech.udn.com/tech/story/123153/7867285
https://www.4gamer.net/games/033/G003329/20240323004/ (日文)
在稍早進一步解說中,微軟 表示日前宣布推出的 DirectSR API 資源,實際上是以 AMD 的超級解析度技術 FidelityFX Super Resolution 2 (FSR 2) 為基礎打造。
———
DirectSR (Super Resolution)
https://tech.udn.com/tech/story/123153/7867285
https://www.4gamer.net/games/033/G003329/20240323004/ (日文)
在稍早進一步解說中,微軟 表示日前宣布推出的 DirectSR API 資源,實際上是以 AMD 的超級解析度技術 FidelityFX Super Resolution 2 (FSR 2) 為基礎打造。
———
DirectSR (Super Resolution)
👍20