Eric Liu 𝕏 🦚:
#Safari 18.2 改进了对 #CSS 下划线和 #ruby 的支持

webkit.org/blog/16301/web…

https://twitter.com/Kongque_Chinese/status/1867010200408035407

Telegram 官方主题设计比赛 获奖作品一览

一等奖 金奖

🥇Quick Boar (USA) – $2,000
t.me/addtheme/SepiaBlues (全平台) t.me/addtheme/MountainSolitude (全平台)
t.me/addtheme/DraculaMint (全平台) t.me/addtheme/SnowDay (全平台)
🥇Sunny Swan (Poland) – $2,000
t.me/addtheme/Spacegrey (全平台) t.me/addtheme/TheWave (全平台)
t.me/addtheme/VaporNeon (全平台) t.me/addtheme/Jellygram (全平台)
🥇Hardy Swallow (Ukraine) – $2,000
t.me/addtheme/mtgold (全平台)

二等奖 银奖
t.me/addtheme/brownie (Android, macOS)
t.me/addtheme/DarkGreenNight (iOS, macOS)
t.me/addtheme/f_green (iOS, Android, macOS)
t.me/addtheme/redmoon (全平台)
t.me/addtheme/japanserenity (iOS, TDesktop)
t.me/addtheme/LavenderMint (iOS, Android)
t.me/addtheme/puaro (iOS, Android, macOS)
t.me/addtheme/OrangeFlowers (Android, TDesktop)
t.me/addtheme/darkQD (iOS, macOS)
t.me/addtheme/lavender_blizzard (iOS, macOS)
t.me/addtheme/pumpkins (iOS, macOS)
t.me/addtheme/Firewatch (iOS, macOS)
t.me/addtheme/nightshift (iOS, macOS)
t.me/addtheme/coldeverest (iOS, macOS)
t.me/addtheme/jotunheim (Android, TDesktop)
t.me/addtheme/orchid_fantasy (Android, TDesktop)
t.me/addtheme/elemental_blue (Android, TDesktop)
t.me/addtheme/afterglow (Android, TDesktop)
t.me/addtheme/joker_art (Android, TDesktop)
t.me/addtheme/AbstractDeer (iOS, Android)
t.me/addtheme/TonTheme (iOS, Android)
t.me/addtheme/DigitalNight (iOS, Android)
t.me/addtheme/AbstractLandscape (iOS, Android)
t.me/addtheme/kYoTqXOSmRvFAJeD (Android, TDesktop)

三等奖 铜奖
t.me/addtheme/cairo (iOS, TDesktop)
t.me/addtheme/mandarin (iOS, TDesktop, macOS)
t.me/addtheme/midnight_theme (all platforms)
t.me/addtheme/StrawberryNight (iOS, TDesktop, macOS)
t.me/addtheme/grayscale (全平台)
t.me/addtheme/halloween_night (iOS, Android, TDesktop)
t.me/addtheme/starWarsNew (iOS, Android, TDesktop)
t.me/addtheme/LightSideStarWars (iOS, TDesktop)
t.me/addtheme/Traku (Android, TDesktop)
t.me/addtheme/Buifys (Android, TDesktop)
t.me/addtheme/bluechill (TDesktop, macOS)
t.me/addtheme/wes_anderson (iOS, macOS)
t.me/addtheme/felicia_chiao (iOS, macOS)
t.me/addtheme/md_tg (iOS, TDesktop, macOS)
t.me/addtheme/hardluna (iOS, macOS)
t.me/addtheme/softluna (iOS, macOS)
t.me/addtheme/ultra_violet (全平台)
t.me/addtheme/KakTebeTakoeElonMusk (iOS, macOS)
t.me/addtheme/hermitage (iOS, macOS)
t.me/addtheme/limbo (Android, macOS)
t.me/addtheme/Emirald (Android, TDesktop)
t.me/addtheme/purplenight (Android, TDesktop)
t.me/addtheme/castlevaniahalimke (Android, TDesktop)
t.me/addtheme/issoelegant (Android, TDesktop)
t.me/addtheme/geometric (iOS, TDesktop)
t.me/addtheme/Bethells (iOS, TDesktop)
t.me/addtheme/bones (Android, TDesktop)

#Telegram @TGgeek

#GZCTF

今天 GZCTF 在特定实例上的优化程度：

内存占用：8GiB -> 200MiB
请求传输：15MiB -> 4.2MiB (压缩前)
缓存大小：1,874,746B -> 1,727,854B
计算时间：30秒级 -> 3秒级

(2600 队伍 / 102 题目 / 8w 提交）

待测试稳定后发版
核心：被 EFCore 坑了

https://fixupx.com/orbstack/status/1826681494544478403

FxTwitter / FixupX

OrbStack (@OrbStack)

Dynamic memory is now out in stable OrbStack v1.7.0! Memory usage is finally a solved problem https://orbstack.dev/blog/dynamic-memory

#今天又看了啥 #security 原来 IDA Pro 9.0 beta 的安装包是 子域名枚举 + .DS_Store 路径泄露出来的路径吗（ https://fixupx.com/gmhzxy/status/1822871063795315135

由监管要求下架 dockerhub 镜像
非常遗憾，接上级通知，即时起我们将中止对 dockerhub 仓库的镜像。docker 相关工具默认会自动处理失效镜像的回退，如果对官方源有访问困难问题，建议尝试使用其他仍在服务的镜像源。

我们对给您带来的不便表示歉意，感谢您的理解与支持。

Rider 2024.1 更新了 UI 字体
偶尔换换风格也不错啊.jpg

TLDR:

刚读完了这两篇关于 xz-utils 包的供应链攻击说明，攻击者潜伏了三年，很精彩，只差一点点就可以往众多 Linux 发行版的 sshd 注入后门，可用于绕过密钥验证，后果不堪设想。
概括：
1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号，之后积极参与 xz 项目的维护，并逐渐获取信任，获得了直接 commit 代码的权利。
2. JiaT75 在最近几个月的一次 commit 中，悄悄加入了 bad-3-corrupt_lzma2.xz 和 good-large_compressed.lzma 两个看起来人畜无害的测试用二进制数据，然而在编译脚本中，在特定条件下会从这两个文件中读取内容对编译结果进行修改，致使编译结果和公开的源代码不一致。
3. 目前初步的研究显示，注入的代码会使用 glibc 的 IFUNC 去 Hook OpenSSH 的 RSA_public_decrypt 函数，致使攻击者可以通过构造特定的验证数据绕过 RSA 签名验证。（具体细节还在分析中）
4. 只要是同时使用了 liblzma 和 OpenSSH 的程序就会受到影响，最直接的目标就是 sshd，使得攻击者可以构造特定请求，绕过密钥验证远程访问。
5. 受影响的 xz-utils 包已经被并入 Debian testing 中进行测试，攻击者同时也在尝试并入 fedora 和 ubuntu。
6. 幸运的是，注入的代码似乎存在某种 Bug，导致特定情况下 sshd 的 CPU 占用飙升。被一位安全研究人员注意到了，顺藤摸瓜发现了这个阴谋并报告给 oss-security，致使此事败漏。
如果不是因为这个 Bug，那么这么后门有不低的概率被并入主流发行版的 stable 版本，恐怕会是一件前所未有的重大安全事件。

另外从一些细节能看出来攻击者非常用心：
1. 攻击者抢在 ubuntu beta freeze 的几天前才尝试让新版本并入，以期望减少在测试期间被发现的时间。
2. xz-utils 项目的原维护者 Lasse Collin (Larhzu)，有着定期进行 internet breaks 的习惯，而且最近正在进行，导致这些变动他并没有 review 的机会，即使到现在也没能联系上他本人。这可能也是攻击者选定 xz-utils 项目的原因之一。

更多的细节还在被分析中，目前 GitHub 已经关停了整个 xz 项目。

https://x.com/Blankwonder/status/1773921956615877110?s=20

X (formerly Twitter)

Yachen Liu (@Blankwonder) on X

刚读完了这两篇关于 xz-utils 包的供应链攻击说明，攻击者潜伏了三年，很精彩，只差一点点就可以往众多 Linux 发行版的 sshd 注入后门，可用于绕过密钥验证，后果不堪设想。 概括： 1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号，之后积极参与 xz 项目的维护，并逐渐获取信任，获得了直接…