前端周报:Swift 标准库预览版发布;谷歌工程师:手机厂商请不要自行修改 Linux 内核代码 ;因 IE 存在严重漏洞,微软为 Windows 7 发布安全更新

阅读数:2 2020 年 2 月 24 日 10:56

前端周报:Swift 标准库预览版发布;谷歌工程师:手机厂商请不要自行修改 Linux 内核代码 ;因 IE 存在严重漏洞,微软为 Windows 7 发布安全更新

前端新闻

Swift 标准库预览版发布

近日,Swift 团队发布了 Swift 标准库预览版(Swift Standard Library Preview 软件包),预览包提供对已通过 Swift Evolution 流程接受到 Swift 标准库中的功能的访问,但尚未作为 Swift 的正式发行版的一部分提供。

延伸阅读:
https://swift.org/blog/preview-package/

谷歌工程师:手机厂商请不要自行修改 Linux 内核代码

Google Project Zero(GPZ)团队近期报告了三星 Android 内核上的漏洞。并指出,三星试图通过修改内核代码来抵御攻击,反而因此暴露出更多安全漏洞。

目前,一些 Android 手机通过专用的帮助程序来访问硬件,这些帮助程序在 Android 中统称为硬件抽象层(HAL)。来自 GPZ 的研究员 Jann Horn 表示,手机厂商修改 Linux 内核核心部分的工作方式反而破坏了其原有的攻击锁定性能。就像三星一样,某些被添加的自定义功能是不必要的,完全可以删去,也不会造成任何影响。

因此,他建议手机制造商使用 Linux 已经支持的直接硬件访问功能,无需再自定义 Linux 内核代码。

因 IE 存在严重漏洞,微软为 Windows 7 发布安全更新

Windows 7 已经停止更新,但近日在微软发布的更新指南中,微软为 Windows 7 发布了安全补丁,CVE-2020-0674 公告中写道:

这个远程代码执行漏洞存在于 IE 浏览器处理脚本引擎对象的内存中。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。

如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以控制受影响的系统。然后,攻击者可能会安装程序。查看,更改或删除数据;或创建具有完全用户权限的新帐户。

延伸阅读:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0674

Microsoft 存在子域劫持问题

垃圾邮件发送者劫持了 Microsoft 子域,以宣传扑克赌场。许多其他子域多年来一直处于脆弱状态。NIC.gp 的安全研究员和开发人员 Michel Gaschet 提出,微软在管理其数千个子域时存在问题,其中许多可以被劫持并用于攻击用户,员工或显示垃圾内容。Gaschet 在接受 ZDNet 采访时说,在过去三年中,他一直在向 Microsoft 报告具有错误配置的 DNS 记录的子域,但该公司要么忽略报告,要么静默保护某些子域,但不是全部。

延伸阅读:
https://www.zdnet.com/article/microsoft-has-a-subdomain-hijacking-problem/

Mozilla 向社区求助 WebRender 错误的解决方法

Mozilla Gfx 团队在博客中向广大开发者求助,起因是他们收到了 UI 错误报告,然后一直在跟踪人们发布的一些 WebRender 错误。但是 Mozilla Gfx 团队无法确定重现这些问题的明确步骤,也无法找到解决方案。所以向社区求助开发者帮助他们追踪该错误的再现步骤(又名 STR)。

延伸阅读:
https://mozillagfx.wordpress.com/2020/02/18/challenge-snitch-on-the-glitch-help-the-graphics-team-track-down-an-interesting-webrender-bug/

行业新闻

Facebook 开源 PyTorch3D

2 月 17 日消息,Facebook 近日开源了将 PyTorch 用于 3D 深度学习的函数库 PyTorch3D,这是一个高度模块化且经过优化的库,具备独有的功能,旨在通过 PyTorch 简化 3D 深度学习。PyTorch3D 为 3D 数据提供了一组常用的 3D 运算符和快速且可微分的损失函数 (loss function),以及模块化的可微分渲染 API。通过上述的功能,研究人员可以立即将这些函数导入至当前最先进的深度学习系统中。

蚂蚁金服某 P6 程序员从钉钉非法获取阿里、蚂蚁金服 8 万条信息

来自云头条消息:蚂蚁金服 P6 高级技术支持工程师祝某某,从 2017 年 5 月至 8 月,通过录屏方式从钉钉非法获取阿里、蚂蚁员工 (含外包)的个人及职务信息超过 8 万条,相关信息被制作成视频并上传至百度云盘,祝某某的行为严重违反《商业行为准则》第二条关于遵守法律的规定、第三条第 11 款关于保密信息的规定,构成《员工纪律制度》规定的一类违规,决定处以辞退处分。同日,蚂蚁金服公司向祝某某发出《解除劳动合同通知》,以祝某某严重违反公司规章制度为由解除劳动合同。

钉钉自制“鬼畜视频”在线求饶:少侠们饶命

由于受新冠肺炎疫情的影响导致延迟开学,不少学校借助各大厂商的在线教学工具,开展远程教学、线上网课。近期全国万所学校推行钉钉在家上课以来,钉钉应用市场的评论区却收到了大量来自小学生的一星“好评”。

或许这个鬼畜视频真的起了作用,目前钉钉在苹果的 App Store 评分已经略微回升到了 2.5 分,此前其评分曾一度被刷到 2 分以下。

C++ 20 即将发布

近日,Reddit 上一篇帖子表示,C++ 20 已经通过了委员会草案:

在近期 ISO C++ 委员会会议上,我们完成了 C++ 20 委员会草案,并投票决定将国际标准草案(DIS,Draft International Standard)发送出去,以进行最终批准和发布”,帖子介绍:“在程序上,DIS 可能会被拒绝,但是由于我们的程序和过程,这种情况极不可能发生。这意味着 C++ 20 已经完成,并将在几个月后发布该标准。

延伸阅读:
https://www.reddit.com/r/cpp/comments/f47x4o/202002_prague_iso_c_committee_trip_report_c20_is/

深度阅读

如何使现代 Web 体验更安全

在最近的网络攻击中,梅西百货(Macy’s),史密斯韦森(Smith&Wesson)和英国零售商 Sweaty Betty 等三个著名站点遭到了类似的 Magecart 风格攻击,以窃取购物者的个人信息。信息很明确:网站和 Web 应用程序容易受到攻击,并且现有的安全部署不足以防御客户端攻击。

延伸阅读:
https://hackernoon.com/how-we-can-make-the-modern-web-experience-more-secure-zheh38s2

使用 JavaScript 和 AWS CloudWatch 编排网站内容

编排网站内容很困难。大多数内容管理系统(CMS)具有发布产品,博客文章和其他类型的平台相关内容的功能,但是简单地构建 HTML 怎么办?作为开发人员,有时我们希望在特定时间段内展示我们网站的一部分。本文将告诉你怎样操作。

延伸阅读:
https://hackernoon.com/using-javascript-and-aws-cloudwatch-for-scheduling-website-content-tutorial-q9di38bi

解码 Vue CLI

CLI(命令行界面)的思想是使用简单的可编辑命令,以产生更大的输出。Vue CLI 也不例外。当一个新项目开始时,开发人员最后要​​担心的是项目脚手架。幸运的是,Vue 团队已将脚手架,原型设计以及其他各种方便的命令捆绑到一个简单的 CLI 工具中!

延伸阅读:
https://alligator.io/vuejs/vue-cli-reference/

为什么要对 SaaS 产品使用 ReactJS

持续改进和对最新技术进行修改的能力是保持与行业相关性的关键。像 Netflix,Instagram 和 Facebook 这样的公司意识到这一点,并跟上最热门的趋势。最近,人们的兴趣似乎转移到了 ReactJS 及其雄伟的功能上。

延伸阅读:
https://hackernoon.com/reasons-to-use-reactjs-for-saas-products-mv5s36ao

将 TypeScript 与 Vue 单个文件组件一起使用

您可能会问自己“什么是 TypeScript”?这是发展最快的编程语言之一。它是 Microsoft 创建的 JavaScript 超集,将松散类型的语言转换为严格类型的语言。它是带有可选类型声明的 ES6。

延伸阅读:
https://alligator.io/vuejs/using-typescript-with-vue/

工具 & 库 & 资源

Node.js 13.9.0 发布

2 月 18 日,Node.js 13.9.0 正式发布,详情请查看更新说明。

延伸阅读:
https://github.com/nodejs/node/releases/tag/v13.9.0

Ionic 5.0.1 发布

Ionic 是一个高级的 HTML5 移动端应用框架,也是一个开发混合移动应用的前端框架。

延伸阅读:
https://github.com/ionic-team/ionic/releases/tag/v5.0.1

Windows Terminal Preview v0.9 版本

Windows Terminal v0.9 版本已经发布. 这是终端的最新版本,它将在 v1.0 发行版之前包含新功能。您可以从 Microsoft Store 或 GitHub 版本页面下载 Windows 终端。

延伸阅读:
https://devblogs.microsoft.com/commandline/windows-terminal-preview-v0-9-release/

评论

发布