软件和应用
随客网软件和应用频道,第一时间了解软件和应用相关的大事、软件和应用的相关新鲜事,专注于软件和应用行业相关新闻和大事件。
最近更新
小米MIUI 14更新了:终于支持图标九宫格大文件夹 效率极高
在小米13发布会上,万众期待的MIUI 14也正式发布,不仅在流畅度上大大提升,UI视觉上也带来了全新的设计。
比如全新的大图标、大文件夹、桌面宠物等等,给用户带来了一些新鲜感。
不过需要注意的是,MIUI 14的大文件夹在设计逻辑上有一些小问题,整个文件夹占用了四个图标的位置,但是却只有三个App可以直接点击打开,更多App需点击夹中夹。
好在MIUI一直以来就是一个十分关心用户体验和反馈的系统,网友反馈小米在最新的内测版中已经火速进行了升级,带来了九宫格版本的大文件夹。
不是内测用户也可以通过更新系统桌面4.39.9.5963-01031422版本来实现,已经有好心用户提取了安装包,大家可以自行搜索使用。
更新后可以选择九宫格显示,这样原本四个图标的位置就能有8个可直接点击打开的图标,而且还能设置智能展示,系统会自动学习用户使用习惯进行排序,智能推荐外露App,使用会更高效。
这个功能最初是在HarmonyOS上被大家熟知,虽然设计思路非常简单,但却极大的提升了用户体验,目前已经基本被国内安卓系统普及开来。
Firefox遭意外“误伤”:新版本被错误识别为IE 11
随着微软宣布IE 11将被放弃,越来越多的Web端开发者也开始终止自己网站对于IE浏览器的支持,如果用IE打开这些网站,只会看到更换浏览器的提醒。
但近日,Firefox的110版本却遭到了部分网站的“误伤”,在访问时会弹出“不再支持您的浏览器,请下载最新版本的Chrome、Firefox、Microsoft Edge”的提示。
经过Firefox开发者的调查,该问题可能与浏览器的UA(User Agent)有关。
在Firefox 110版本中,浏览器的UA信息为:“Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:110.0) Gecko/20100101 Firefox/110”。
而IE 11的UA信息为:“Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko”。
部分网页检测浏览器是否受支持时,仅检测“rv:11*”数值是否匹配,这使得rv:110.0和rv:11.0会被视为同样的内容,导致Firefox 110被错误识别为了IE...
官方警告:这些Linux用户请立即卸载
“所有在2022年12月25日至12月30日期间,在Linux系统安装了PyTorch-nightly(每日更新版)的用户,请立即卸载!”
上述消息来自PyTorch官方的一则最新声明。
据官方透露,他们刚刚识别出一个与框架的“torchtriton”库同名的恶意依赖项,该依赖项在PyPI代码库上被破坏,并运行恶意二进制文件。
攻击者试图窃取用户IP地址、当前工作目录等敏感数据并上传到指定地址,相关恶意代码在从PyPI删除之前已被下载2300+次。
不过就在事情一面倒时,攻击者却自己发表了声明,坚称并无恶意,一切只是为了道德研究。
那么——
到底发生了什么?
具体事情是这样的:
攻击者在Python的官方索引库:PyPI (Python Package Index),创建了一个叫“torchtriton”的Python软件包。
为何取这个名字?
当然是故意的。
这样就能和PyTorch本身有的一个包名字相匹配,好比玩起了Cosplay。
然后,由于名字相同,“假torchtriton”就被跟着上传到了PyPI中。
又因为PyPI索引具有优先权,所以假torchtriton就被默认安装到用户的设备上了,而真正的官方版本却被搁置到一旁。
这就是所谓的供应链攻击,在公共软件包索引上,被托管的软件包之间的的依赖关系都受到了直接影响。
不出所料,这个假torchtriton自带一肚子坏水:
它比官方版多了上传敏感数据的代码,还包含一个恶意的triton二进制文件。
一旦被安装在用户设备上,它就可以入侵系统,窃取用户的重要数据,比如:主机名、用户名、系统中的已知用户,以及SSH密钥等。
据悉用户的列表是从/etc/passwd中提取的,幸运的是,它实际上并不包含任何密码或密码哈希值。
至于SSH密钥,这是安全外壳 (SSH)协议中使用的安全访问凭证,也是Linux服务器运维的关键。
有网友指出:
关于SSH密钥,Linux存在一些漏洞,而iOS和Android的安全模型就不会允许Python软件包窃取SSH密钥。
不过,最好的解决方案是实施最小权限原则,不要给程序授予任何不必要的权限。
另外,或许也可以考虑请雇人检查软件包。
用户这边,如果你记不清自己下载的是哪个版本,官方给出了一个检查的办法:
输入以下命令,在torchtriton包(PYTHON_SITE_PACKAGES/triton/runtime/triton)中搜索恶意二进制文件,然后就能看到在当前的Python环境是否受到影响。
事件后续
在官方声明中,PyTorch也提出了他们的解决策略。
PyTorch将“ torchtriton”依赖项重命名为“ PyTorch- triton”,并在PyPI上保留了一个虚拟包,以防止类似的攻击。
同时,官方也发推呼吁在2022年12月25日至12月30日期间下载了恶意版本的用户立即卸载,并使用最新版本。
事情进一步发酵后,有媒体顺藤摸瓜,根据被盗数据传输到的域名,找到了该域名背后的所有者。
公共记录显示,该域名于12月21日刚刚注册,就在Pytorch事件发生的几天前。
据Bleeping Computer消息,这位所有者坚称自己的做法“不是恶意的”,只是为了道德研究,而且所有数据都已删除。
我为此承担责任并道歉。与此同时,我想向你们保证,我无意窃取别人的秘密。
我已经在12月29日(几乎是官方宣布的三天前)在确认漏洞存在后向Facebook报告了这个问题。
我还通过HackerOne向其他可能受到影响的公司提交了报告。
如果我是恶意的,我将永远不会填写任何漏洞赏金报告,而是只把数据出售给出价最高的人。
对于发送许多用户敏感数据的原因,他进一步解释:
在过去调查依赖混淆攻击时,大多数情况下不可能根据受害者的主机名、用户名和CWD来识别他们。
这就是我这次决定发送更多数据的原因,但是回顾过去,这是一个错误的决定,我应该更加谨慎。
对于攻击者的这一说法,目前PyTorch官方还未做出回应。
对这次PyTorch事件,你怎么看?
参考链接:
https://twitter.com/pytorch/status/1609334425384517633
https://www.bleepingcomputer.com/news/security/pytorch-discloses-malicious-dependency-chain-compromise-over-holidays/
https://thehackernews.com/2023/01/pytorch-machine-learning-framework.html
https://news.ycombinator.com/item?id=34202662
英特尔 PC / 手机互联软件 Intel Unison 现已上线
IT之家 1 月 3 日消息,英特尔在去年 9 月份公布了多设备协同技术 (Intel Unison) 技术,可将 PC 和手机之间实现无缝的持续连接。据外媒消息,该软件现已全面上线。
据介绍,该软件的 Windows 版可在 Microsoft Store 下载,iOS 和安卓版已可在 App Store 和 Google Play 下载。
英特尔表示,该软件可以实现以下功能:
文件传输 —— 打造...
苹果关闭旗下天气应用Dark Sky,正式对现有用户停止运营
1月3日消息,据MacRumors报道,当地时间1月1日,苹果正式关闭了收购的天气应用DarkSky。
据悉,苹果早在2020年3月就收购了DarkSky天气应用,此后将该应用的许多功能纳入iPhone、iPad和Mac上预装的天气App中。
不过,在去年9月份,这款应用从AppStore下架,而如今,它对现有用户停止运营。
据悉,要使用天气应用中的Dark Sky功能,用户的设备必须更新到iOS 16、iPadOS 16 或 macOS 13 Ventura系统。一些功能目前只在特定的国家/地区提供。
苹果还将在今年3月31日关闭Dark Sky用于第三方天气应用的API,并推出自有的WeatherKit API作为替代。
推特出现自马斯克接管以来首次大范围宕机
12月29日消息,当地时间周三晚间,部分推特用户使用网络浏览器访问该平台时遇到技术故障,这可能是两个月前推特被马斯克收购以来出现的第一次大规模宕机,超过1万人受到影响。
据监测网络状况的网站DownDetector数据显示,当地时间周三,推特公司有成千上万名用户宕机。截至美国东部时间晚上7点40分,超过1万名用户报告了在美国访问该社交媒体网站的问题。
据了解,一些用户报告说,他们的推特账号被自动登出,而其他用户说,他们无法查看对推文的回复,但可以访问该服务的其他部分。一些用户说,他们在滚动浏览时间线时遇到了错误信息。
马斯克在推特平台上被问到是否有服务中断,他发推文回应说:“我这里正常。”
微软为Win11多项功能带来新UI:加速去除Win8时代“遗产”
作为微软开始拥抱扁平化设计的一代操作系统,Win8可以说对后续的Winodws系统留下了深厚的影响。
这种影响不仅体现在Win10/11设计语言上对Win8的继承,也体现在时至Win11仍能看到的,大量从Win8中几乎原封不动“搬过来”的界面。
好在,微软现在似乎已经意识到,在一款操作系统中放进太多与整体设计不符的元素会明显增加系统的割裂感,开始为多项新功能带来更符合Win11设计语言的新UI。
目前,微软已经开始为Win11的Windows防火墙、“重命名此电脑”、“重置此电脑”等功能带来新的界面,以取代此前继承自Win8的窗口。
除了对上述界面的调整外,微软还正在加速对WIn11系统各项细节的优化改造,让各个页面都获得契合Win11整体风格的界面,为用户带来更加统一的使用体验。
不过,需要注意的是,在促进界面摆脱Win8“遗产”的同时,微软也在将越来越多的功能迁移至设置,从而摆脱控制面板功能。
工信部拟规定:APP应可便捷卸载 不得默认自动续订
前不久工信部正式发文规定,自2023年1月1日起,厂商要确保移动智能终端中除基本功能软件外的预置应用软件均可卸载,并提供安全便捷的卸载方式供用户选择。
根据工信部官网今天(12月27日)最新发布的消息,目前已公开征求对《工业和信息化部关于进一步提升移动互联网应用服务能力的通知(征求意见稿)》的意见。
其中提出,规范安装卸载行为。具体包括:
1.确保知情同意安装。向用户推荐下载APP应遵循公开、透明原则,真实、准确、完整地明示开发者信息、产品功能、隐私政策、权限列表等必要信息,并同步提供明显的“取消”选项,经用户确认同意后方可下载安装,切实保障用户知情权、选择权。不得通过“偷梁换柱”“强制捆绑”“静默下载”等方式欺骗误导用户下载安装。
2.规范网页推荐下载行为。在用户浏览页面内容时,未经用户同意或主动选择,不得自动或强制下载APP,或以折叠显示、主动弹窗、频繁提示等方式强迫用户下载、打开APP,影响用户正常浏览信息。无合理正当理由,不得要求用户不下载APP就不给看,或者不让看全文。
3.实现便捷卸载。除基本功能软件外,APP应可便捷卸载,不得以空白名称、透明图标、后台隐藏等方式恶意阻挠用户卸载。
此外还要优化服务体验,包括开屏窗口要便捷关闭,不得频繁弹窗、不得利用高灵敏度“摇一摇”等容易误触发的方式。
要明示开通会员、收费附加条件,不得在服务过程中擅自添加限制性条件等。
自动续费方式也不得默认勾选、强制捆绑开通,非服务必须场景下,不得自启动和关联启动其他APP等。