📰 最近消息
Hexo 维护者误将 Hexo repo 设置为 private;现已恢复。Watcher 和 Stargazer 均已丢失;订户如果想的话可以重新 watch/star。gh:hexojs#5775[感谢宝硕提供此消息。]#Hexo
reCAPTCHA 或将要求用户用其手机 App 扫码进行验证。接受此类验证码的用户需要使用安装有 reCAPTCHA app 的 iOS/iPadOS 设备,或包含较新版本 Google Play Services 的 Android 设备。 [1]cloud.google.com/~1. support.google.com/~linksrc: https://t.me/solidot/29755#reCAPTCHA #Google
CVE-2024-YIKES:《关于一个病毒恰巧修了一个漏洞的那件事》- 首先,这是一篇虚构文学!(目前还)不是实际发生的情况。- 讲述了一个受供应链攻击影响的开源包如何在一系列偶然下被发现以至被修正的故事。- 讽刺了软件工程领域不时会发生草台班子行为的现状。nesbitt.io/~seealso: HackerNews:48086082#SupplyChain #Meme
🔴 Tanstack 系列包被骇。- 约 42 个包的 84 个版本受到影响;Tanstack Query (@tanstack/react-query) 未受影响。 [1]- 在 5/11 安装了受影响版本的设备可能也因此被骇。- 恶意行为包括收集设备上的凭据,以及向设备用户维护的 npm 包加入恶意代码并重新打包发布等。- 有用户称,恶意软件会在设备上持续运行,如果监测到其收集的 token 被 revoke,则会清空设备家目录。 [2]tanstack.com/~1. GHSA-g7cv-rxg3-hmpx2. gh:TanStack/router#7383#Tanstack
🔴 NGINX http_rewrite 模块漏洞;或会导致堆溢出甚至远程代码执行。- 漏洞的起因是 nginx 尝试将 escape 过的 URL 写入未 escape 长度的内存。- 在 ASLR 未被开启的情况下,可以导致远程代码执行。- 修复已于 1.30.1/1.31.0 发布。1. https://depthfirst.com/nginx-rift2. my.f5.com/~CVE: CVE-2026-42945CVSS: 9.2 (F5 Networks)Affect: [0.6.27, 1.30.0]Fixed-At: 1.30.1, 1.31.0#nginx
🔴 Fragnesia:另一个 Kernel 本地提权漏洞;mitigation 和 Dirty Frag 一样。- Mitigation 依旧是禁用 esp4/esp6/rxrpc [1]。注意这可能会使 IPSec/AFS 等组件失效。- 影响版本范围和 Dirty Frag 一样;patch 尚未合并至 kernel。1. gh:v12-security/pocs/~CVE: CVE-2026-46300thread: /4852[感谢来自一位匿名订户的消息。]#Kernel
🔴 node-ipc 新版本包含凭据收集等恶意行为。- 涉及版本 9.1.6/9.2.3/12.0.1。- 这些版本由一位已有权限但久未维护此包的维护者发布。- 这已经是 node-ipc 二进宫了;上次是因为 peacenotwar。https://socket.dev/blog/node-ipc-package-compromisedthread: /3471linksrc: https://t.me/landiansub/15345#NodeIPC
Bun 的 Rust 重写现已合并。用户可运行 bun upgrade --canary 以体验新 Bun。gh:oven-sh/bun#30412seealso: HackerNews:48132488#Bun #Rust
Railway 宕机;原因是账号被 Google Cloud 封禁了;现正恢复中。https://status.railway.com/seealso: HackerNews:48200827#Railway #Google
巴西 iOS 用户或将能使用第三方应用市场。当然 Apple 还是要对其中 app 的 IAP 抽成 5% 的 Core Technology Commission 的。9to5mac.com/~linksrc: https://t.me/ithome_full/573407#Brazil #iOS