经历了之前的 GPG “假”漏洞，本月 8 日又来了个 GPG 真漏洞！当使用 GPG 签名文档时，签名者可以给文档附加一个可选的“原文文件名”，你可能见过。然而，偏偏遗漏了这里没有正确清除文件名中的控制字符，攻击者可以向终端和 GPG 内部管道注入任意控制序列，让假文件看起来是真文件。立即更新到 2.2.8. https://lists.gnupg.org/pipermail/gnupg-users/2018-June/060636.html

**Junde Yhi** · Jun 14, 2018, 01:42

Junde Yhi boosted

**niconiconi** @niconiconi@cybre.space · Jun 14, 2018, 01:42

Jun 14, 2018, 01:42

niconiconi @niconiconi@cybre.space

更正——不受 CPU 漏洞影响的第一个 Linux 内核版本是 4.6，不是 4.5。

Show thread

**Junde Yhi** · Jun 14, 2018, 01:26

Junde Yhi boosted

**niconiconi** @niconiconi@cybre.space · Jun 14, 2018, 01:26

Jun 14, 2018, 01:26

niconiconi @niconiconi@cybre.space

【Intel CPU 再爆 Spectre 漏洞新变体】今天，Intel 公布了 [0] 又一个 Spectre 漏洞的新变体——Lazy FP 状态还原漏洞。如果操作系统在上下文切换时使用了 CPU 的 Lazy FP 功能进行系统状态的保存与还原，攻击者可以利用 CPU 的预测执行功能获取其他进程在寄存器中保存的数据。操作系统应使用 Eager FP 取代 Lazy FP。

由于 Linux 内核有开发者发现 Lazy FP 的操作非常慢，因此在 2016 年 1 月就已经在所有 CPU 上默认 [1] 启动 Eager FP，无意中修复了该漏洞。如果你的内核使用的是 4.5 及其之后的版本，无需采取任何措施。否则需要等待上游 backport 此补丁，或者在引导内核参数中加入 eagerfpu=on，手工开启并重启即可。

[0] https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00145.html

[1] https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=58122bf1d856a4ea9581d62a07c557d997d46a19

HN 评论：https://news.ycombinator.com/item?id=17307131

**Junde Yhi** @lmy441900@sn.angry.im · Jan 10, 2018, 03:34

**Junde Yhi** @lmy441900@sn.angry.im · Jan 10, 2018, 03:34

Jan 10, 2018, 03:34

Junde Yhi @lmy441900@sn.angry.im

@rainycatalone 我还记得我大一就专门有关于古代学派的文献综述的作业

**Junde Yhi** @lmy441900@sn.angry.im · Jan 10, 2018, 03:23

**Junde Yhi** @lmy441900@sn.angry.im · Jan 10, 2018, 03:23

Jan 10, 2018, 03:23

Junde Yhi @lmy441900@sn.angry.im

@rainycatalone 几乎所有学科都面临如此问题

**Junde Yhi** · Jan 05, 2018, 02:41

Junde Yhi boosted

**Project Wolves | Migrated** @wolves@sn.angry.im · Jan 05, 2018, 02:41

Jan 05, 2018, 02:41

Project Wolves | Migrated @wolves@sn.angry.im

: Google Project Zero 和奥地利格拉茨技术大学等机构的研究人员正式披露了三个处理器高危漏洞，分别编号为 CVE-2017-5753（Variant 1）、CVE-2017-5715（Variant 2）和 CVE-2017-5754（Variant 3），前两个漏洞被称为 Spectre，后一个漏洞被称为 Meltdown，Spectre Variant 1 影响 AMD，英特尔和 ARM 处理器，而所有三个漏洞都影响英特尔处理器，研究人员已经开发出了概念验证的漏洞利用。AMD 和 ARM 已经发表声明称漏洞可以通过软件修正，对性能影响不大。而英特尔处理器的软件修正则被认为存在显著的性能影响。 http://www.solidot.org/story?sid=55097

**Junde Yhi** · Jan 04, 2018, 01:29

Junde Yhi boosted

**Eugen** @Gargron@mastodon.social · Jan 04, 2018, 01:29

Jan 04, 2018, 01:29

Eugen @Gargron@mastodon.social

People not realizing I'm referencing a new vulnerability called Spectre: https://spectreattack.com/

Show thread

**Junde Yhi** · Jan 03, 2018, 11:47

Junde Yhi boosted

**niconiconi** @niconiconi@cybre.space · Jan 03, 2018, 11:47

Jan 03, 2018, 11:47

niconiconi @niconiconi@cybre.space

Linux 内核开发者最近超级忙，问他们干什么，他们都会告诉你在「Intel CPU 电路设计爆炸！硬件设计问题造成了 ASLR 可以被绕过，内核失去了 ASLR 这一对未知漏洞的第一线防御能力」，因此要开发一个名叫 KAISER（取谐音）的补丁。但 Linux 内核的 ASLR 从来都不强，各种 bypass 漏洞都多少年了（也包括去年的一个硬件漏洞），也没见谁要修的，这次 Linux 主线却一反常态，没有口水战，加班加点工作，甚至在讨论结束__之前__就有提交补丁为 KAISER 让路的。而前一阵子还在纠结一个 5% 的性能开销的 Linus，现在就彻底不管性呢个了！结合最近 Windows 和 macOS 也在加班修复，KAISER 最终改名 KPTI，以及 Azure, AWS 的一波维护，和最近的一些传言……

可以确定，问题远比 ASLR bypass 严重「修复 ASLR」只是个幌子，绝对不能解释这一切反常现象。可以怀疑：1. 硬件漏洞允许类似 rowhammering「程序代码对内存进行物理攻击」，越权内存读写；2. 这个漏洞直接影响云计算基础设施和厂商；3. 漏洞允许虚拟机逃逸、提权攻击。

**Junde Yhi** @lmy441900@sn.angry.im · Jan 04, 2018, 07:20

**Junde Yhi** @lmy441900@sn.angry.im · Jan 04, 2018, 07:20

Jan 04, 2018, 07:20

Junde Yhi @lmy441900@sn.angry.im

@FiveYellowMice 我最近也在看魔卡少女樱 owo

**Junde Yhi** · Dec 11, 2017, 04:18

Junde Yhi boosted

**のえるちゃん🇹🇼** @noeruchan@mastodon.social · Dec 11, 2017, 04:18

Dec 11, 2017, 04:18

のえるちゃん🇹🇼 @noeruchan@mastodon.social

实名制始终是为了ZF服务的，而不是对你有什么好处。

**Junde Yhi** @lmy441900@sn.angry.im · Dec 19, 2017, 16:34

**Junde Yhi** @lmy441900@sn.angry.im · Dec 19, 2017, 16:34

Dec 19, 2017, 16:34

Junde Yhi @lmy441900@sn.angry.im

@StardustX@pawoo.net 经常看见，但是并不知道到底是什么意思

**Junde Yhi** · Dec 07, 2017, 14:16

Junde Yhi boosted

**Outvi V** @outvi@cmx.im · Dec 07, 2017, 14:16

Dec 07, 2017, 14:16

Outvi V @outvi@cmx.im

#Mozilla 想在出版物上刊登一份代价 $10,000 的巨幅广告来影响 FCC 投票的决策者。希望它们顺利。
https://donate.mozilla.org

**Junde Yhi** · Dec 07, 2017, 19:28

Junde Yhi boosted

**Free Software Foundation** @fsf@status.fsf.org · Dec 07, 2017, 19:28

Dec 07, 2017, 19:28

Free Software Foundation @fsf@status.fsf.org

We can't afford to lose #netneutrality - our freedom as Internet users is at stake. Take action today! https://u.fsf.org/2d- https://status.fsf.org/attachment/41472

dd8cc1985d850d3bb517b6af631dad6d8e9e77a5e3ada63a4e84a5b34f6371d0.png

**Junde Yhi** @lmy441900@sn.angry.im · Oct 24, 2017, 04:16

**Junde Yhi** @lmy441900@sn.angry.im · Oct 24, 2017, 04:16

Oct 24, 2017, 04:16

Junde Yhi @lmy441900@sn.angry.im

@sims4ever 看了半天下面有一个 ARU

**Junde Yhi** · Oct 24, 2017, 03:08

Junde Yhi boosted

**纽洛曼瑟** @masasoite@cmx.im · Oct 24, 2017, 03:08

Oct 24, 2017, 03:08

纽洛曼瑟 @masasoite@cmx.im

在油管听歌，评论里有各国语言留言，很平常的事。有个小伙子（或者小姑娘，分不清东南亚名字）用泰语写了一句评论，谷歌翻译说是“很好听”的意思，结果那句评论底下还有美国名字的人回复他：Don't speak terrorist。
泰语的文字很可爱，有点Q，从中诞生了好些日式颜文字。那个回复“don't speak terrorist”的人的无知和恶毒令人心惊。
很难过，人与人之间的割裂太严重了。