硬核观察 | 安全研究人员根据修复补丁,直接在网上公开了 Chrome 漏洞

2021-04-14
2分钟阅读时长

安全研究人员根据修复补丁,直接在网上公开了 Chrome 漏洞

一名印度安全研究人员公布了一个最近发现的漏洞的概念验证利用代码,该漏洞存在于 V8 JavaScript 引擎中,影响了谷歌 Chrome、微软 Edge 以及 Opera 和 Brave 等其他基于 Chromium 的浏览器。

该漏洞在上周举行的 Pwn2Own 黑客大赛中被使用,参赛选手因此赢得了 10 万美元的奖金。根据比赛规则,关于这个漏洞的细节被交给了 Chrome 安全团队,谷歌将修复补丁提交到了 V8 引擎,但尚未及时发布到 Chromium 浏览器中(本文发布时已更新修复)。结果,另外一位安全研究人员根据该补丁重现了该漏洞,并将其发布到了 GitHub 上,并通过 Twitter 公之于众。

研究人员所发布的并非完全武器化的漏洞,利用也需要一定的条件。但这件事凸显了“开源补丁间隙”问题,在安全补丁传递到下游之前的空隙期间,可能带来更大的安全风险。

FreeBSD 13.0 发布

新版本包含了大量的软件更新;64 位 ARM 架构现在与 x86_64 并列成为一级架构;ZFS 采用 OpenZFS 实现;LLVM Clang 11 成为默认的编译器工具链;移除了各种过时的老版本工具,如旧版的 GDB、GCC 和 Binutils;以及因为质量原因,这次对 WireGuard 的支持未能加入。其它亮点可参见基金会文章

这是一个值得关注的大版本,可惜的是 WireGuard 没能进入。

Apache 软件基金会撤下了大量的 Hadoop 相关项目

从 4 月 1 日开始,Apache 软件基金会(ASF)宣布至少有 19 个开源项目退居“ 阁楼 Attic ”,其中 13 个与大数据相关,10 个是 Hadoop 生态系统的一部分。ASF 表示这是常规的项目退役高峰,经过了项目管理委员会到董事会的投票,这些项目被放到了“阁楼”。

这或许是 ASF 内部进行清仓,但是似乎也能表明,Hadoop 已经在优胜劣汰中处于劣势,让位于 Spark 了。