前端周报：Swift 标准库预览版发布；谷歌工程师：手机厂商请不要自行修改 Linux 内核代码；因 IE 存在严重漏洞，微软为 Windows 7 发布安全更新-InfoQ

前端新闻

Swift 标准库预览版发布

近日，Swift 团队发布了 Swift 标准库预览版（Swift Standard Library Preview 软件包），预览包提供对已通过 Swift Evolution 流程接受到 Swift 标准库中的功能的访问，但尚未作为 Swift 的正式发行版的一部分提供。

延伸阅读：

https://swift.org/blog/preview-package/

谷歌工程师：手机厂商请不要自行修改 Linux 内核代码

Google Project Zero（GPZ）团队近期报告了三星 Android 内核上的漏洞。并指出，三星试图通过修改内核代码来抵御攻击，反而因此暴露出更多安全漏洞。

目前，一些 Android 手机通过专用的帮助程序来访问硬件，这些帮助程序在 Android 中统称为硬件抽象层（HAL）。来自 GPZ 的研究员 Jann Horn 表示，手机厂商修改 Linux 内核核心部分的工作方式反而破坏了其原有的攻击锁定性能。就像三星一样，某些被添加的自定义功能是不必要的，完全可以删去，也不会造成任何影响。

因此，他建议手机制造商使用 Linux 已经支持的直接硬件访问功能，无需再自定义 Linux 内核代码。

因 IE 存在严重漏洞，微软为 Windows 7 发布安全更新

Windows 7 已经停止更新，但近日在微软发布的更新指南中，微软为 Windows 7 发布了安全补丁，CVE-2020-0674 公告中写道：

这个远程代码执行漏洞存在于 IE 浏览器处理脚本引擎对象的内存中。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。
如果当前用户使用管理用户权限登录，则成功利用此漏洞的攻击者可以控制受影响的系统。然后，攻击者可能会安装程序。查看，更改或删除数据；或创建具有完全用户权限的新帐户。

延伸阅读：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0674

Microsoft 存在子域劫持问题

垃圾邮件发送者劫持了 Microsoft 子域，以宣传扑克赌场。许多其他子域多年来一直处于脆弱状态。NIC.gp 的安全研究员和开发人员 Michel Gaschet 提出，微软在管理其数千个子域时存在问题，其中许多可以被劫持并用于攻击用户，员工或显示垃圾内容。Gaschet 在接受 ZDNet 采访时说，在过去三年中，他一直在向 Microsoft 报告具有错误配置的 DNS 记录的子域，但该公司要么忽略报告，要么静默保护某些子域，但不是全部。

延伸阅读：

https://www.zdnet.com/article/microsoft-has-a-subdomain-hijacking-problem/

Mozilla 向社区求助 WebRender 错误的解决方法

Mozilla Gfx 团队在博客中向广大开发者求助，起因是他们收到了 UI 错误报告，然后一直在跟踪人们发布的一些 WebRender 错误。但是 Mozilla Gfx 团队无法确定重现这些问题的明确步骤，也无法找到解决方案。所以向社区求助开发者帮助他们追踪该错误的再现步骤（又名 STR）。

延伸阅读：

https://mozillagfx.wordpress.com/2020/02/18/challenge-snitch-on-the-glitch-help-the-graphics-team-track-down-an-interesting-webrender-bug/

行业新闻

Facebook 开源 PyTorch3D

2 月 17 日消息，Facebook 近日开源了将 PyTorch 用于 3D 深度学习的函数库 PyTorch3D，这是一个高度模块化且经过优化的库，具备独有的功能，旨在通过 PyTorch 简化 3D 深度学习。PyTorch3D 为 3D 数据提供了一组常用的 3D 运算符和快速且可微分的损失函数 (loss function)，以及模块化的可微分渲染 API。通过上述的功能，研究人员可以立即将这些函数导入至当前最先进的深度学习系统中。

蚂蚁金服某 P6 程序员从钉钉非法获取阿里、蚂蚁金服 8 万条信息

来自云头条消息：蚂蚁金服 P6 高级技术支持工程师祝某某，从 2017 年 5 月至 8 月，通过录屏方式从钉钉非法获取阿里、蚂蚁员工 (含外包）的个人及职务信息超过 8 万条，相关信息被制作成视频并上传至百度云盘，祝某某的行为严重违反《商业行为准则》第二条关于遵守法律的规定、第三条第 11 款关于保密信息的规定，构成《员工纪律制度》规定的一类违规，决定处以辞退处分。同日，蚂蚁金服公司向祝某某发出《解除劳动合同通知》，以祝某某严重违反公司规章制度为由解除劳动合同。

钉钉自制“鬼畜视频”在线求饶：少侠们饶命

由于受新冠肺炎疫情的影响导致延迟开学，不少学校借助各大厂商的在线教学工具，开展远程教学、线上网课。近期全国万所学校推行钉钉在家上课以来，钉钉应用市场的评论区却收到了大量来自小学生的一星“好评”。

或许这个鬼畜视频真的起了作用，目前钉钉在苹果的 App Store 评分已经略微回升到了 2.5 分，此前其评分曾一度被刷到 2 分以下。

C++ 20 即将发布

近日，Reddit 上一篇帖子表示，C++ 20 已经通过了委员会草案：

在近期 ISO C++ 委员会会议上，我们完成了 C++ 20 委员会草案，并投票决定将国际标准草案（DIS，Draft International Standard）发送出去，以进行最终批准和发布”，帖子介绍：“在程序上，DIS 可能会被拒绝，但是由于我们的程序和过程，这种情况极不可能发生。这意味着 C++ 20 已经完成，并将在几个月后发布该标准。

延伸阅读：

https://www.reddit.com/r/cpp/comments/f47x4o/202002_prague_iso_c_committee_trip_report_c20_is/