微信支付SDK曝出重大漏洞,黑客可实现0元购;同时,涵盖Solid项目、Highcharts更新、TensorFlow改进等多项技术进展。
(点击上方蓝字,快速关注我们)
转自:开源中国、solidot、cnBeta、腾讯科技等
0、微信支付 SDK 惊现重大漏洞:黑客可 0 元购买任意商品
2018年Q1中国移动支付交易规模超40万亿元,移动支付已经改变了人们的购物方式,但昨日,互联网却爆出微信支付官方SDK 存在严重的 XXE 漏洞,可导致商家服务器被入侵。
该漏洞由白帽汇NOSEC安全讯息平台发布报告,但有趣的是,这名白帽子不知如何联系微信安全团队人员,所以在 Twitter 上 @360Netlab,于是 360 代为转达了该漏洞。
一旦商家服务器被入侵,攻击者获得了关键支付的安全密钥(md5-key和商家信息,将可以直接实现0元支付购买任何商品)实现绕过支付的效果。目前,漏洞详细信息以及攻击方式已被公开,影响范围巨大。
影响范围
该用户在报告中详细披露的漏洞的具体信息以及攻击方式,根据已公开利用细节可以确认,陌陌和VIVO因使用该SDK而存在该漏洞。受影响的版本有 JAVA SDK,WxPayAPI_JAVA_v3。
1、正面反击 Google、FB 等巨头,万维网之父携 Solid 归来
外媒消息,万维网之父 Tim Berners-Lee , 正在打造一个名为 Solid 的项目,旨在让人们获得更公平、安全的互联网体验。
近 30 年前,Berners-Lee 创建了万维网,给网络世界带来了划时代的变化。之后这些年,Berners-Lee 也没有坐下来闲着,除了领导万维网联盟(W3C)之外,作为网络中立性的先驱之一,他还一直在尝试开发一些新的方法,以让人们获得更公平、安全的网络体验。
2、经典 JavaScript 图表库 Highcharts 发布 6.1.1 版本
Highcharts 6.1.1 已发布,本次更新包含新特性添加和 bug 修复,具体如下:
● Added clearer error reporting to offline exporting. Closes #8226.
● Added default for data.weight in Word Cloud.
● Added support for polar parallel coordinate charts (star plots).
● ......(详情:https://www.oschina.net/news/89396/highcharts-6-0-1)
3、TensorFlow 1.9.0-rc2 发布,改进数据加载和文本处理
TensorFlow 1.9.0-rc2 已发布。该版本的更新内容包括新特性的增加、Bug 修复和其他改进,以及一些破坏性的变化。
● Updated docs for tf.keras: New Keras-based get started,and programmers guide page.
● Update tf.keras to the Keras 2.1.6 API.
● Added tf.keras.layers.CuDNNGRU and tf.keras.layers.CuDNNLSTM layers. Try it.
● ......(详情:https://github.com/tensorflow/tensorflow/releases/tag/v1.9.0-rc2)
4、基于 Vue 2.0 的桌面端组件库 Element 2.4.3 发布
Element 2.4.3 已发布,更新内容如下:
● 修复当自定义 Tree 节点高度时,allow-drop 不能正常工作的问题,#11797
● 现在 Form 的 clearValidate 方法支持传入参数,指定需要清空校验结果的 FormItem,#11821
● 新增 MessageBox 的 distinguishCancelAndClose 属性,#11831
● ......(详情:https://github.com/ElemeFE/element/archive/v2.4.3.zip)
5、Nginx 主线版 1.15.1 发布,新增随机负载均衡方法
Nginx Nginx 主线版 1.15.1 已发布,该版本新增了一个随机负载均衡的方法(random load balancing method),还包括一些其他的新增功能和 bug 修复。
● Feature: the "random" directive inside the "upstream" block.
● Bugfix: HTTP/2 server push did not work if SSL was terminated by a proxy server in front of nginx.
● Bugfix: the "tcp_nopush" directive was always used on backend connections.
● ......(详情:http://nginx.org/en/download.html)
6、Currents 云计算报告:容器正流行,Serverless 未成熟
云计算公司 DigitalOcean 近日发布了 2018 年 6 月 Currents 云计算季度报告,该报告对全球 5000 名行业专业人士进行调查。报告显示,随着容器技术和相关管理工具在过去一年的快速发展,49% 的受访开发者表示目前正在使用容器。Serverless 则依然处于初期阶段,有一大半的受访者表示对 Serverless 不了解。
7、IntelliJ IDEA 2018.2 Beta 2 发布,功能改进版本
IntelliJ IDEA 2018.2 Beta 2 已发布,该版本主要是对之前版本中新增的功能进行改进。官方表示,现在 IntelliJ IDEA 2018.2 已越来越稳定,离正式版发布也不远了。从该版本起,IntelliJ IDEA 默认会在 for-each 循环中的冒号之前添加空格,当然这个设置可以自行修改。(详情:https://www.jetbrains.com/idea/nextversion/)
8、欧盟本月或再次重罚谷歌,要求改变安卓运营方式
据彭博社报道,谷歌或即将面临另一轮巨额反垄断罚款。根据美国总统特朗普访问布鲁塞尔后欧盟委员会一周的工作日程安排判断,这一决定可能最早会在7月18日到来。据知情人士透露,由于流程不公开的因素,欧盟可能要求 Google 改变其移动业务的运营方式。
觉得这些资讯有帮助?请转发给更多人
关注 技术最前线 ,看 IT 要闻
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
