Forwarded from Solidot
华为计划在 Windows 授权过期后转向 Linux
2025-03-18 14:55 by 人猿泰山之地心营救
微软向华为供应 Windows 许可证的合约将于本月到期,华为此后将不再能生产或销售运行 Windows 操作系统的 PC。华为仍然被美国商务部列入实体名单,美国公司如微软需要获得特别出口许可证才能与华为有业务往来。华为消费者业务部门执行董事余承东表示,该公司准备转向替代操作系统。华为此前已经宣布计划在未来的 PC 中放弃使用 Windows。华为将于 4 月推出一款搭载其自主研发的鲲鹏 CPU 和 HarmonyOS 的新 AI PC 笔记本电脑,还将推出首款基于 Linux 的笔记本电脑 MateBook D16 Linux Edition。
/.:Huawei To Pivot To Linux, HarmonyOS as Microsoft Windows License Expires
#Linux
2025-03-18 14:55 by 人猿泰山之地心营救
微软向华为供应 Windows 许可证的合约将于本月到期,华为此后将不再能生产或销售运行 Windows 操作系统的 PC。华为仍然被美国商务部列入实体名单,美国公司如微软需要获得特别出口许可证才能与华为有业务往来。华为消费者业务部门执行董事余承东表示,该公司准备转向替代操作系统。华为此前已经宣布计划在未来的 PC 中放弃使用 Windows。华为将于 4 月推出一款搭载其自主研发的鲲鹏 CPU 和 HarmonyOS 的新 AI PC 笔记本电脑,还将推出首款基于 Linux 的笔记本电脑 MateBook D16 Linux Edition。
/.:Huawei To Pivot To Linux, HarmonyOS as Microsoft Windows License Expires
#Linux
Forwarded from 科技圈🎗在花频道📮
Perplexity提出收购TikTok计划:承诺开源算法重建平台
AI搜索初创公司Perplexity宣布提出收购TikTok要约,计划在美国监督下从头重建TikTok算法。该公司承诺将推荐系统开源透明化,并利用NVIDIA Dynamo技术升级AI基础设施。
Perplexity
另一则消息:字节跳动的美国投资者正与甲骨文合作,探索TikTok美国业务的新所有权结构,以应对4月5日的禁令期限。方案中,泛大西洋资本、Susquehanna等现有投资者将增持股份,甲骨文则负责数据安全保障。
金融时报
📮投稿 ☘️频道 🌸聊天
AI搜索初创公司Perplexity宣布提出收购TikTok要约,计划在美国监督下从头重建TikTok算法。该公司承诺将推荐系统开源透明化,并利用NVIDIA Dynamo技术升级AI基础设施。
Perplexity
另一则消息:字节跳动的美国投资者正与甲骨文合作,探索TikTok美国业务的新所有权结构,以应对4月5日的禁令期限。方案中,泛大西洋资本、Susquehanna等现有投资者将增持股份,甲骨文则负责数据安全保障。
金融时报
📮投稿 ☘️频道 🌸聊天
👍1
Forwarded from 层叠 - The Cascading
GNOME GitLab 使用 PoW 工具 Anubis 应对 GenAI 爬虫滥用行为。
- Anubis 是通过 Proof of Work 进行站点访问用户验证的开源组件。
- GNOME 统计发现,只有 3% 的请求通过了 Anubis 验证,即 97% 的请求可能都来自爬虫。
thelibre.news/~
seealso: HackerNews:43422413
#GenAI #OpenSource #WebSpider
- Anubis 是通过 Proof of Work 进行站点访问用户验证的开源组件。
- GNOME 统计发现,只有 3% 的请求通过了 Anubis 验证,即 97% 的请求可能都来自爬虫。
thelibre.news/~
seealso: HackerNews:43422413
#GenAI #OpenSource #WebSpider
libre
FOSS infrastructure is under attack by AI companies
LLM scrapers are taking down FOSS projects' infrastructure, and it's getting worse.
Forwarded from 蓝点网订阅频道 (山外的鸭子哥)
#安全资讯 俄罗斯漏洞经纪商开出最高 400 万美元的价格收购即时通讯工具 Telegram 的零点击漏洞,该经纪商通常收到客户定金后发布悬赏令。
其中需要用户交互的 Telegram 远程代码执行漏洞 50 万美元,无需交互的零点击漏洞 150 万美元,能够利用 Telegram 控制整个设备的漏洞 400 万美元。
查看全文:https://ourl.co/108451
→欢迎关注:蓝点网订阅频道
→欢迎关注:蓝点网X/Twitter
→联系编辑:山外的鸭子哥
→腾讯云99元/年服务器不限新老
其中需要用户交互的 Telegram 远程代码执行漏洞 50 万美元,无需交互的零点击漏洞 150 万美元,能够利用 Telegram 控制整个设备的漏洞 400 万美元。
查看全文:https://ourl.co/108451
→欢迎关注:蓝点网订阅频道
→欢迎关注:蓝点网X/Twitter
→联系编辑:山外的鸭子哥
→腾讯云99元/年服务器不限新老
Forwarded from 层叠 - The Cascading
#PSA: Next.js 中间件权限验证漏洞;请尽快更新。
影响 11-15 版本;修复于 14.2.25/15.2.3 版本;mitigation 亦可应用。
zeropath.com/~
cve: CVE-2025-29927
cvss: 9.1 (GitHub)
ghsa: GHSA-f82v-jwr5-mffw
linksrc: https://t.me/hyi0618/6574
#Security #Nextjs
影响 11-15 版本;修复于 14.2.25/15.2.3 版本;mitigation 亦可应用。
zeropath.com/~
cve: CVE-2025-29927
cvss: 9.1 (GitHub)
ghsa: GHSA-f82v-jwr5-mffw
linksrc: https://t.me/hyi0618/6574
#Security #Nextjs
Zeropath
Next.js Middleware Exploit: CVE-2025-29927 Authorization Bypass - ZeroPath Blog
Explore the critical CVE-2025-29927 vulnerability in Next.js middleware, enabling attackers to bypass authorization checks and gain unauthorized access.
Forwarded from Solidot
俄测试网络主权,完全切断 Cloudflare 连接
2025-03-23 19:49 by 十二魔
Gundaz Aghayev 写道:
俄罗斯政府机构 Roskomnadzor 下属的“互联网监控和控制中心” (CMU SSOP) 去年 11 月指责 Cloudflare 部署 Encrypted Client Hello 侵害了各国网络主权,并有效地阻止了其 ECH 连接。在“主权互联网法案”授权之下,他们持续干扰西方科技公司在俄运作,Google 和 Wikipedia 已经“夹着尾巴逃跑了”,接下来是 Cloudflare。
先演习一下,这次在部分地区完全切断 Cloudflare,起初是中部的、与哈萨克斯坦接壤的新西伯利亚州。后来,不同 ISP 和地区的封锁有差异,大体上集中在俄罗斯中部和东部地区,该国的欧洲部分不受影响。用户报告所有使用了 Cloudflare CDN 的网站,都无法被打开。包括邻国的 DeepSeek、测速站 Speedtest、w3.org,以及臭打游戏的们的 Discord、EA、Nexus mods、VRChat。Cloudflare Radar 显示部分 ISP,比如 ZSTTKAS(AS21127)的 HTTP 流量接近清零。
“演习”结束,DeepSeek 率先被解封。这期间一名用户声称使用 chat.deepseek.com 作为 TLS hello,Discord 聊天就能“迅速打开”。本人推测这并不是已被 Cloudflare 禁止的域前置:封锁和解封与否是基于 IP 地址,而不是 HTTPS SNI。
可能的关联是:Roskomnadzor 在本月 20 日说要“对俄罗斯服务和电信运营商使用外国服务器基础设施进行定期技术检查”、以及“研究在确保网络主权的框架内制定改善上述服务的稳定性和安全性的措施”。不过本人看不出来封锁 IP 地址、导致俄国人上不去使用 Cloudflare CDN 的网站是如何改善稳定和安全的。
Cloudflare Status 记录了此次短暂封锁,现在其已被标记为“解决”。
Solidot, 俄罗斯屏蔽 Cloudflare 的 ECH 连接, 2024年11月08日
Interfax, РКН проверит операторов связи на использование ими иностранных серверов, 08:58, 20 марта 2025
ntc.party, Cloudflare заблокировали?, 2025 年 3 月 20 日
wkrp, net4people/bbs#464, Cloudflare blocked in eastern Russia, 2025-03-20, Mar 21, 2025
Cloudflare Radar, Traffic from AS21127
Cloudflare Status, Network Issues in Russia, “This incident has been resolved. Posted Mar 22, 2025 - 21:07 UTC”
#互联网
2025-03-23 19:49 by 十二魔
Gundaz Aghayev 写道:
俄罗斯政府机构 Roskomnadzor 下属的“互联网监控和控制中心” (CMU SSOP) 去年 11 月指责 Cloudflare 部署 Encrypted Client Hello 侵害了各国网络主权,并有效地阻止了其 ECH 连接。在“主权互联网法案”授权之下,他们持续干扰西方科技公司在俄运作,Google 和 Wikipedia 已经“夹着尾巴逃跑了”,接下来是 Cloudflare。
先演习一下,这次在部分地区完全切断 Cloudflare,起初是中部的、与哈萨克斯坦接壤的新西伯利亚州。后来,不同 ISP 和地区的封锁有差异,大体上集中在俄罗斯中部和东部地区,该国的欧洲部分不受影响。用户报告所有使用了 Cloudflare CDN 的网站,都无法被打开。包括邻国的 DeepSeek、测速站 Speedtest、w3.org,以及臭打游戏的们的 Discord、EA、Nexus mods、VRChat。Cloudflare Radar 显示部分 ISP,比如 ZSTTKAS(AS21127)的 HTTP 流量接近清零。
“演习”结束,DeepSeek 率先被解封。这期间一名用户声称使用 chat.deepseek.com 作为 TLS hello,Discord 聊天就能“迅速打开”。本人推测这并不是已被 Cloudflare 禁止的域前置:封锁和解封与否是基于 IP 地址,而不是 HTTPS SNI。
可能的关联是:Roskomnadzor 在本月 20 日说要“对俄罗斯服务和电信运营商使用外国服务器基础设施进行定期技术检查”、以及“研究在确保网络主权的框架内制定改善上述服务的稳定性和安全性的措施”。不过本人看不出来封锁 IP 地址、导致俄国人上不去使用 Cloudflare CDN 的网站是如何改善稳定和安全的。
Cloudflare Status 记录了此次短暂封锁,现在其已被标记为“解决”。
Solidot, 俄罗斯屏蔽 Cloudflare 的 ECH 连接, 2024年11月08日
Interfax, РКН проверит операторов связи на использование ими иностранных серверов, 08:58, 20 марта 2025
ntc.party, Cloudflare заблокировали?, 2025 年 3 月 20 日
wkrp, net4people/bbs#464, Cloudflare blocked in eastern Russia, 2025-03-20, Mar 21, 2025
Cloudflare Radar, Traffic from AS21127
Cloudflare Status, Network Issues in Russia, “This incident has been resolved. Posted Mar 22, 2025 - 21:07 UTC”
#互联网
Forwarded from LoopDNS资讯播报
摧毁x86最后堡垒:Intel电熔丝e-Fuse加密密钥泄漏
安全研究人员发现,英特尔聚合安全与管理引擎(CSME)的硬件安全架构存在关键设计缺陷,导致其根加密密钥(Fuse Encryption Key, FEK)可被提取。FEK用于加密每颗芯片的“安全熔断”(Security Fuses)数据,但由于其自身未启用安全模式且共享于同代平台(如Apollo Lake、Gemini Lake等),攻击者可通过组合漏洞(CVE-2019-0090与CVE-2021-0146)提取FEK,从而解密所有安全熔断信息,彻底破坏信任根(Root of Trust)。
研究指出,问题源于英特尔CSME的硬件加密模块(OCS)设计缺陷:安全密钥存储模块(SKS)未强制为FEK启用安全模式,导致攻击者可利用“已知明文”攻击手段,通过覆盖密钥字节并观察加密结果逆向推导FEK。该漏洞无法通过软件修复,因FEK生成逻辑与硬件熔断配置已固化于芯片内,仅新一代硬件可彻底解决。
此次漏洞影响所有基于Apollo Lake、Gemini Lake等旧平台的设备,涉及嵌入式系统及消费级产品。尽管相关平台已停产,但大量设备仍在使用,且英特尔文档承认其安全模型在FEK泄露后“无法恢复”。
来源:Solidot / PT SWARM
安全研究人员发现,英特尔聚合安全与管理引擎(CSME)的硬件安全架构存在关键设计缺陷,导致其根加密密钥(Fuse Encryption Key, FEK)可被提取。FEK用于加密每颗芯片的“安全熔断”(Security Fuses)数据,但由于其自身未启用安全模式且共享于同代平台(如Apollo Lake、Gemini Lake等),攻击者可通过组合漏洞(CVE-2019-0090与CVE-2021-0146)提取FEK,从而解密所有安全熔断信息,彻底破坏信任根(Root of Trust)。
研究指出,问题源于英特尔CSME的硬件加密模块(OCS)设计缺陷:安全密钥存储模块(SKS)未强制为FEK启用安全模式,导致攻击者可利用“已知明文”攻击手段,通过覆盖密钥字节并观察加密结果逆向推导FEK。该漏洞无法通过软件修复,因FEK生成逻辑与硬件熔断配置已固化于芯片内,仅新一代硬件可彻底解决。
此次漏洞影响所有基于Apollo Lake、Gemini Lake等旧平台的设备,涉及嵌入式系统及消费级产品。尽管相关平台已停产,但大量设备仍在使用,且英特尔文档承认其安全模型在FEK泄露后“无法恢复”。
来源:Solidot / PT SWARM
层叠 - The Cascading
#PSA: Next.js 中间件权限验证漏洞;请尽快更新。 影响 11-15 版本;修复于 14.2.25/15.2.3 版本;mitigation 亦可应用。 zeropath.com/~ cve: CVE-2025-29927 cvss: 9.1 (GitHub) ghsa: GHSA-f82v-jwr5-mffw linksrc: https://t.me/hyi0618/6574 #Security #Nextjs
所以说加上一个header就能绕过认证......
https://github.com/fourcube/nextjs-middleware-bypass-demo
curl -I -H "x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware" http://localhost:3000
https://github.com/fourcube/nextjs-middleware-bypass-demo
GitHub
GitHub - fourcube/nextjs-middleware-bypass-demo: Demo for Next.js middleware bypass - CVE-2025-29927
Demo for Next.js middleware bypass - CVE-2025-29927 - fourcube/nextjs-middleware-bypass-demo
Forwarded from 科技圈🎗在花频道📮
This media is not supported in your browser
VIEW IN TELEGRAM