## CVE-2026-31431: Linux 内核权限提升 Linux 内核的 `algif_aead` 模块存在本地权限提升 (LPE) 漏洞 (CVE-2026-31431),具体位于 `authencesn` 算法 (hmac(sha256), cbc(aes)) 中。该漏洞于 2026 年 4 月 29 日披露,允许非特权用户破坏内核页面缓存,从而可能获得 root 权限。 当使用 `splice()` 将数据从普通文件输入到 AEAD 操作时,会发生此漏洞。`authencesn` 随后对目标页面缓存执行小规模的就地写入,从而破坏文件的缓存内容。重要的是,磁盘上的文件保持不变,这使得检测变得困难。 利用方法是破坏页面缓存中的 `/etc/passwd` 文件,将用户的 UID 更改为 0,然后使用 `su` 获取 root shell。提供了 Python 脚本 (`test_cve_2026_31431.py` 用于检测,`exploit_cve_2026_31431.py` 用于利用) 以进行测试和利用。 受影响的内核包括包含提交 72548b093ee3 (于 2017 年引入) *且未* 撤销上游补丁的内核。缓解措施包括禁用 `algif_aead` 模块或应用上游补丁,该补丁将恢复到非就地 AEAD 操作。 **重要提示:** 仅在您拥有或已获得明确评估权限的系统上使用这些工具。未经授权的使用是非法的。
每日HackerNews RSS
对不起。
## 美国父亲角色的演变 近几代美国父亲的角色发生了显著变化。千禧一代的父亲每天在育儿上花费超过80分钟——是婴儿潮一代父母的两倍多,几乎是沉默一代祖父母的四倍。这种转变不仅仅是因为女性进入劳动力市场,尽管这是关键因素。母亲的育儿参与度*也*有所增加,表明了一种更广泛的文化变革。 有几个因素促成了这种“父亲角色的崛起”。更高的教育水平与更多陪伴孩子的时间相关,这可能是因为受过教育的父母将育儿视为一种有价值的休闲活动。与此同时,对大学入学和社會地位的焦虑助长了“高强度育儿”,推动了对孩子成功的竞争。 社会联系的减少也发挥了作用,使家庭生活更加集中,并增加了父母的参与度。尽管母亲仍然承担更多的育儿责任——特别是压力较大的任务——并且报告了更高的育儿压力,但父亲们越来越多地接受共同育儿的角色。 成为父亲通常意味着牺牲休闲时间,例如看电视,并调整睡眠时间。尽管感到更加疲惫和时间压力增大,但父亲们普遍报告生活满意度很高,并且不会用任何东西来交换这种经历,这突显了现代父亲身份的深刻乐趣。
Please provide the content you want me to translate. I need the text to be able to translate it to Chinese.
## LinkedIn 秘密追踪你的浏览器扩展程序
LinkedIn 正在秘密扫描用户的 Chrome 浏览器扩展程序——这一做法至少从 2017 年开始,目前已追踪超过 6,278 个扩展程序。这并非为了改善用户体验;LinkedIn 利用这些数据构建详细档案,将你的职业身份与个人浏览习惯联系起来。
该公司通过尝试访问扩展程序内的文件来探测扩展程序的安装情况,记录失败(和成功)情况以构建软件清单。这会泄露敏感信息——求职活动、政治倾向,甚至关于残疾的细节——所有这些都没有经过用户同意或在他们的隐私政策中披露。
除了隐私问题外,LinkedIn 据称*利用*这些数据,对安装了特定扩展程序的用戶进行惩罚。这一做法目前正在德国进行刑事调查,可能违反欧盟《数字市场法》。
这并非孤立事件。LinkedIn 的指纹识别系统,结合数据共享,允许追踪你在 *离开* LinkedIn 后的浏览活动,创建一个强大的监控网络。这凸显了一个更广泛的生态系统问题,即浏览器指纹识别将跨平台的数据连接起来,侵蚀在线隐私。
车辆互联是Rivian车辆的核心功能。如果您选择禁用所有车辆互联,这将阻止数据离开车辆,但也会限制或禁用车辆中的某些功能(例如,导航、车道保持辅助以及无线更新,这些更新提供新功能、更好的性能、安全增强和错误修复)。要在加拿大车辆中禁用车辆的所有蜂窝网络连接,请使用车辆设置菜单的“数据和隐私”屏幕中的切换开关。对于非加拿大车辆,您可以联系Rivian服务,要求我们在服务预约中禁用车辆中的eSIM卡。请注意,禁用互联不会对您可能拥有的任何Rivian订阅(例如,Connect+)产生影响——这些需要单独取消。您获得了所需的答案吗?是/否
谷歌正在推出一个Play商店徽章,以识别针对平板电脑和折叠屏手机优化的应用程序,此举凸显了Android在该市场的长期弱点。尽管平板电脑自2010年起就已存在,但许多Android应用程序仍然只是简单拉伸的手机版本,缺乏适当的平板电脑优化——苹果公司在几年前就已基本解决了这个问题。
苹果目前主导平板电脑市场(截至2026年初的市场份额为51.5%),拥有强大的平板电脑应用程序库。三星以25.8%的市场份额遥遥落后,这说明了Android的碎片化。
作者认为,苹果可以通过潜在的“iPad Neo”进一步巩固其主导地位——这是一款类似于最近发布的廉价MacBook Neo的经济型平板电脑。这可能会迫使长期停滞的Android平板电脑领域进行急需的变革,该领域已经奋斗了16年,未能提供一致且引人注目的体验。最终,谷歌的失败为苹果有可能垄断平板电脑市场创造了机会。
## iPad Neo 在黑客新闻上的讨论
一篇TechAdvisor的文章,建议苹果公司推出200美元的“iPad Neo”并可能主导平板电脑市场,这在黑客新闻上引发了争论。许多评论者质疑如此低的价格是否可行,并指出目前已有的349美元平板电脑以及苹果公司以往更高质量、更耐用(尽管有时会故意过时)硬件的历史先例。
讨论的中心在于苹果是否已经拥有一个能够胜任这一角色的产品(标准iPad),以及是否有市场空间推出更便宜的选择,而不会蚕食更昂贵型号的销量。一些人认为,Neo需要运行macOS,而不是iOS,才能使其与众不同。
几位用户强调苹果强大的硬件/软件集成是其关键优势,而另一些人则批评了苹果的硬件质量、软件限制以及通过软件更新使旧设备无法使用的做法。 此外,还围绕谷歌的移动战略以及集成生态系统与在所有硬件层面上竞争的价值展开了更广泛的讨论。
## 教堂岩铀矿泄漏:摘要
1979年7月16日,新墨西哥州的教堂岩铀矿厂泄漏事件,仍然是美国历史上放射性物质释放量最大的一次,甚至超过了三英里岛事件的影响。联合核公司矿厂尾矿处置池的决堤,导致超过1100吨固体放射性废物和9400万加仑酸性液体释放到普埃科河中,污染了向下游延伸至亚利桑那州和纳瓦霍族领地的80英里河段。
泄漏物包含铀、其他放射性元素和有毒金属,使河流无法用于饮用、灌溉和牲畜。依赖河流的纳瓦霍社区收到的警告延迟且往往不足,最初的应对因语言障碍而受阻。尽管有要求,新墨西哥州州长拒绝了联邦灾害援助。
清理工作有限,长期健康影响仍然令人担忧。虽然美国环保署于1983年将该地点列入国家优先列表,但地下水污染仍然存在。该事件凸显了环境正义问题,因为泄漏不成比例地影响了美洲原住民人口,并且比其他核事件受到的全国媒体关注更少。教堂岩泄漏事件是对铀矿开采的持久后果和负责任的废物管理必要性的严峻提醒。
对不起。
请启用 JavaScript 并禁用任何广告拦截器。
## 美国参议员禁止参与预测市场交易
美国参议员最近投票禁止自己参与像Kalshi和Polymarket这样的预测市场交易,引发了关于禁令范围的争论。虽然旨在防止内幕交易,但一些法律专家质疑措辞——禁止依赖事件结果的协议——是否无意中扩展到其他活动,如保险或房屋销售。
讨论的中心在于这是否是一项充分的措施,考虑到现有的漏洞以及更广泛的利益冲突的可能性。许多评论员提倡将禁令扩展到所有交易,包括股票,甚至禁止所有政府雇员参与这些市场。人们对执法提出了担忧,特别是随着加密货币的兴起,以及在下注*之后*影响结果的可能性。
最终,这场讨论凸显了对更严格的立法者道德规范的需求,以及更广泛地讨论如何防止可能损害公共服务的经济激励。一些人建议解决根本问题——腐败的可能性——通过提高国会议员的薪水并限制外部收入。
Forgejo 漏洞披露(“Carrot disclosure”)发布后,作者在 Mastodon/信息安全社区遭受了强烈反弹和争论。最初的帖子因对负责任披露的意见不一,在多个 Mastodon 实例上被反复删除,引发了关于漏洞处理的更广泛讨论。 作者个人受到负面评论的攻击,其披露策略受到了安全专业人士和担心吸引注意力到易受攻击目标的用户的批评。有趣的是,荷兰随后启动了一个主权 Forgejo 实例。 最终,作者向 Forgejo 安全团队发送了一封综合性邮件,包括道歉、其方法背后的理由、加固建议和概念验证漏洞利用。主要目标——改变 Forgejo 安全态度的认知——似乎已部分实现,尽管非常规的披露方法仍然存在争议。
对不起。