## libpng 1.6.51 安全发布 libpng 库已更新至 1.6.51 版本,以解决 **四个缓冲区溢出漏洞** (CVE-2025-64505, CVE-2025-64506, CVE-2025-64720, CVE-2025-65018),影响版本 1.6.0 至 1.6.50。这些漏洞是通过模糊测试和安全研究发现的,研究人员包括 Samsung-PENTEST、weijinjinnihao 和 yosiimich。 其中两个 CVE 被评为 **高危** (CVE-2025-64720 & CVE-2025-65018),涉及潜在的越界读取和堆溢出,可能导致信息泄露、拒绝服务,以及在某些配置下,任意代码执行。另外两个是 **中危** (CVE-2025-64505 & CVE-2025-64506),涉及堆缓冲区读取越界。 所有漏洞都需要用户处理恶意构造的 PNG 文件。**强烈建议用户立即升级到 libpng 1.6.51** 以减轻这些风险。 更多详细信息,包括提交链接和 GitHub 安全公告,请访问:[https://github.com/pnggroup/libpng/releases/tag/v1.6.51](https://github.com/pnggroup/libpng/releases/tag/v1.6.51)
每日HackerNews RSS
libpng图像库的最新更新(版本1.6.51)解决了四个缓冲区溢出漏洞。最初的报告表明,利用这些漏洞需要用户交互(打开恶意PNG文件),但Hacker News上的评论员对此表示异议,指出PNG文件经常被网络浏览器、通知和图像生成工具自动处理,无需用户明确同意。
在像libpng这样成熟的库中发现这些漏洞——包括两个高危问题——凸显了软件安全面临的持续挑战。值得注意的是,Google Chrome正在放弃libpng,转而使用内部Skia模块,该模块利用Rust(本身利用`png` crate)进行PNG解码和编码。此次更新影响的版本可追溯到2013年。
## 明尼苏达大学数据泄露与和解方案令人失望 明尼苏达大学最近向受2021年数据泄露影响的个人提供了和解方案,该泄露影响了1989年至2021年间与大学相关的人员——包括像作者这样的校友。尽管大学并未承认有过错,但同意了500万美元的和解金,仅向受影响的个人提供30美元和24个月的暗网监控。 作者认为这项提议极具侮辱性,认为它严重低估了暴露的个人信息,例如社会安全号码和地址。除了不充分的赔偿外,大学缺乏正式道歉尤其令人沮丧。这起事件强化了一个更广泛的担忧:公共和私立机构始终将声誉和财务置于问责和数据安全之上。 作者拒绝接受和解方案,认为这会延续一种对数据泄露不够重视的体系。他们强调了大学内部的系统性问题,包括优先考虑管理成本以及缺乏强大的数据保护措施,呼吁制定更严格的法规和处罚,以激励更好的安全实践。
马云家族将财富转移至英国,此前经历了多年“失踪”。
Jack Ma's family shifted wealth to UK after years-long 'disappearance'
2 天前
马云的家人最近在伦敦贝尔格莱维亚购买了一栋价值1950万英镑的豪宅,这可能预示着其财富的多元化,此前他与中国当局的关系一度紧张。 这次购买由马云的妻子张瑛于2024年10月完成,紧随马云在批评中国金融体系后重返公众视野。 专家认为,此举是应对潜在未来政治风险的“预防性”措施,反映了富裕中国个人将资产转移到海外的趋势。 此举紧随对新加坡房地产的大量投资,并可能由阿里巴巴股份出售资助。 伦敦购买的时机,在增税前匆忙完成,以及马云之前在香港和纽约的房产收购,凸显了一种国际多元化的模式。 尽管马云似乎已经与习近平总统和解——最近一次公开握手证明了这一点——但分析人士指出,他对公开评论仍然存在限制,并且有报道称他参与了中国当局的政治敏感请求。
## 马云财富转移与土地价值讨论
一份最新报告显示,马云的家人已将财富转移至英国,此前他有一段时间相对低调。这引发了黑客新闻的讨论,中心围绕财富存储和经济政策。
许多评论员认为,房地产,特别是土地,是一种稳定的长期投资,会随着经济增长而升值。然而,这会导致土地投机,并阻碍开发。一个提议的解决方案是土地价值税(LVT),旨在阻止囤积非生产性土地并鼓励投资。
LVT的有效性受到了辩论,一些人认为它可能导致土地价格跌至零,而另一些人则质疑其可行性以及对房主的潜在负面影响。人们担心这种税收是否会过于严厉,迫使人们出售房屋。
对话还涉及更广泛的经济和政治背景,将中国的威权控制与美国体系进行对比,并指出中国企业家精神的衰落可能与政府政策有关。一些人指出,越来越多的中国富裕公民正寻求将资本和家人转移到国外。
这看起来不像可以翻译成可读中文的内容。它是一段PDF文件的数据流,包含乱码和程序指令,而不是自然语言文本。
## 权重稀疏Transformer与可解释性:摘要
一项最新研究探讨了通过强制**权重稀疏性**(确保大部分权重为零,为特定任务创建隔离的“电路”)来提高Transformer模型的可解释性。核心思想是,密集模型将特征塞入共享权重中,阻碍理解,而稀疏性允许神经元表示单一、可解释的概念。
研究人员正在探索两种主要方法:直接训练稀疏模型(旨在完全理解,但目前仅限于较小模型)和使用诸如稀疏自编码器之类的技术从现有密集模型中*解码*电路(更立即适用于较大模型,但可能精度较低)。
讨论的重点是这些方法之间的权衡以及扩展稀疏性的挑战。一个关键点是,实现真正的可解释性可能需要从根本上重新思考硬件,以有效地处理稀疏计算,因为当前的GPU针对密集运算进行了优化。此外,还有探索将这项工作与叠加、符号计算甚至语言模型中的量子类似现象联系起来,这表明了一条统一神经和符号人工智能的途径。最终目标是理解模型*如何*工作,而不仅仅是*它们*是否有效,从而可能带来更安全、更可靠的AI系统。
请启用Cookie。 错误 1005 Ray ID:9a27ed2b0baffd6b • 2025-11-22 11:01:01 UTC 拒绝访问 发生了什么? 该网站(kotaku.com)的所有者已禁止您的IP地址所在的自治系统编号(ASN 45102)访问此网站。 请参阅 https://developers.cloudflare.com/support/troubleshooting/http-status-codes/cloudflare-1xxx-errors/error-1005/ 了解更多详情。 此页面是否有帮助? 是 否 感谢您的反馈! Cloudflare Ray ID:9a27ed2b0baffd6b • 您的IP: 点击显示 47.245.80.60 • 由Cloudflare提供性能和安全保障。
单细胞海洋生物成就了一本有影响力的图鉴。
Single-Celled Marine Organisms Resulted in an Influential Illustrated Book
2 天前
放射虫是单细胞海洋生物,以其复杂的、玻璃状的硅质骨骼而闻名。这些微小的生物在19世纪被发现并广受欢迎,展现出惊人的几何复杂性——包括多面体、球体和放射状棘,这超出了对它们尺寸的生物的预期。它们生活在温暖的海洋水域,以植物和动物物质为食,甚至通过共生关系利用光合作用。
尽管寿命只有短短两周,放射虫会不断地将它们精致的骨骼沉降到海底,数千年积累形成硅质淤泥,最终形成如燧石和打火石等岩层——早期人类用于制作工具的材料。
它们的影响超越了生物学领域;恩斯特·海克尔运用先进的显微镜和艺术技巧,细致地记录和描绘了放射虫,他的作品吸引了公众,并影响了艺术、建筑(如勒内·比奈的纪念门)和新艺术运动等设计潮流。海克尔的《自然形式》至今仍是一部重要作品,展示了自然世界的美丽和复杂性,并巩固了放射虫在人类想象中的地位。
黑客新闻 新的 | 过去的 | 评论 | 提问 | 展示 | 工作 | 提交 登录
单细胞海洋生物产生了一本有影响力的图文书 (lithub.com)
37 分,PaulHoule 1 天前 | 隐藏 | 过去的 | 收藏 | 3 条评论
twic 1 天前 | 下一个 [–]
我个人更喜欢硅藻:https://diatoms.org/morphology
回复 pfdietz 1 天前 | 父级 | 下一个 [–]
硅藻不是对深海沉积物中二氧化硅沉积起主要作用吗,而不是放射虫?后者是浮游动物,由于在食物链中地位较高,数量不会那么多。
回复 lemonberry 1 天前 | 上一个 [–]
这很棒。虽然我已经很久没有见过这本书或它的图片了,但我可以想象这本书的样子。这篇文章纠正了我的想法。我一直以为那些草图是硅藻。我以前从未听说过放射虫。真有趣。
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
## 事件溯源:摘要 事件溯源从根本上改变了数据存储方式,从*当前状态*转变为代表每次更改的*不可变事件*序列。系统不再使用`UPDATE`语句,而是追加事件——关于*发生的事情*的事实——提供完整的审计跟踪,并实现“时间旅行”调试。 主要优势包括改进的审计性、可扩展性(通过CQRS – 分离读/写关注点)和调试能力。通过快照(定期状态保存)和投影(从事件异步更新的读模型,通常使用Kafka进行实时集成)来实现大型事件流的性能。 成功的实施需要仔细关注事件版本控制、迁移策略和强大的并发控制。生产系统使用仅追加数据库,并带有索引和分区,以及用于审计的元数据。 虽然事件溯源具有显著优势,但并非普遍适用。它会引入复杂性和增加存储成本。它最适合需要强审计跟踪、复杂业务逻辑或调试历史数据至关重要的领域——例如金融系统——可能不适用于简单的CRUD应用程序。
## Go语言事件溯源:批判性观察
最近Hacker News上关于Go语言事件溯源(ES)的讨论强调,成功的实施取决于**建模和版本控制的纪律**,而不仅仅是“炫酷”的特性,比如时间旅行或Kafka。许多团队难以维护事件模型,导致复杂的、版本化的事件以及难以重构准确的历史数据。
核心权衡是**用模式/迁移的复杂性来交换事件模型/回放的复杂性**。虽然对于需要强审计跟踪的领域(如银行)来说很有价值,但ES对于更简单的CRUD应用程序来说可能过于复杂,仅使用带有修订的追加表就足够了。
许多评论员强调,ES不仅仅是一个技术选择,而是一种**文化转变**,需要承诺将事件历史视为首要的领域关注点。有人对在Postgres中维护JSONB事件数据的挑战表示担忧,并提倡为许多用例使用更简单的数据库驱动的审计解决方案。
最终,讨论表明,当**业务真正重视历史**并愿意投资于强大的建模和运营实践时,ES才能发挥光芒。它是一个强大的工具,但很容易被滥用,成为传统CRUD系统的通用替代品。
三十年来,伊士曼柯达公司在安全的地下实验室里悄然运行着一种独特装置:镝通量增倍器(CFX)。这并非旨在发电的反应堆,而是一种材料分析工具,利用中子识别杂质并创建详细图像——尤其能显示出X射线无法显示的细节,例如管道泄漏。
CFX 的工作原理是将少量的稀有中子发射元素镝-252与高浓缩铀(HEU)结合。镝启动了这个过程,而铀则增强了中子流。尽管该系统包含武器级材料,但它被故意设计为“亚临界”,以防止链式反应。
该设备在1975年至2006年期间在严格的政府监管下运行。它的存在于2012年公开,引发了人们对私营公司使用HEU的担忧。2007年的退役比运行更为敏感,由于扩散风险,需要小心地将铀运送到政府设施。最终,CFX代表着核技术和企业研究历史上一个引人入胜但非同寻常的篇章。
离子
联系我们
交付太空飞行的未来
保持联系
了解更多
快速部署
将您的有效载荷快速送至月球、火星
和其他深空目的地——很快。
共享发射任务最早于2028年发射,
我们可以将您的有效载荷快速送至您需要的地方。
成本效益
传统的化学火箭效率低下且昂贵。
离子推进器提供了一种经济高效的方法,
将您的有效载荷送至您选择的深空目的地。
火星准备就绪
我们的航天器设计能够
按您的时间表将有效载荷送至红色星球——
无需等待轨道对齐期。
连接标准联盟 (CSA) 发布了 Zigbee 4.0 和 “Suzi”,这是 Zigbee Sub-GHz 功能的新品牌,显著提升了物联网连接。Zigbee 4.0 专注于加强安全性、范围和互操作性,统一现有的 Zigbee 和智能能源设备,同时简化认证。主要改进包括增强的安全功能,如动态链路密钥和高级帧计数器同步,以及更好的网络稳定性,并通过蓝牙低功耗 (BLE) 与 “Zigbee Direct” 实现简化的设备入网。
Suzi 通过远距离、低功耗的 Sub-GHz 网状网络扩展连接,非常适合需要扩展覆盖范围的应用,例如户外空间或大型建筑物。两种技术均与现有的 Zigbee 3.0 设备保持向后兼容。
这些发布旨在创建一个更强大、更易于访问的智能生态系统,为制造商提供灵活的选项来定制功能以满足其需求。Suzi 认证计划计划于 2026 年初推出。总而言之,Zigbee 4.0 和 Suzi 展示了 CSA 对开放标准和互联未来的承诺。