兩行代碼構成的 npm 包影響到了數百萬個項目
一個 npm 小項目的更新給整個 npm 生態系統製造了一場混亂,影響到了數百萬 JS 項目 。
作者:安華金和
名叫 is-promise 的庫包含了兩行代碼,其它項目可通過一行代碼調用使用該庫。它的功能是讓開發者測試一個 JS 對象是否是 Promise。儘管這個庫只有兩行代碼,但它卻是最流行的 npm 包之一,被超過 340 萬個項目使用。
上周末 is-promised 釋出了一個更新,結果由於它不符合正確的 ES 模塊標準,導致使用該庫的其它項目在構建時出錯。問題並沒有導致現有 JS 項目崩潰,而主要無法編譯新版本。
許多知名的 JS 項目都受到影響,其中包括 Facebook 的 Create React App,Google 的 Angular.js 框架,Google 的 Firebasse-tools,亞馬遜的 AWS Serverless CLI,Nuxt.js 等等。npm 生態系統的依賴問題早在 2016 年就引發過廣泛關注。
來源:solidot.org
更多資訊
谷歌披露影響蘋果全平台的 Image I/O 零點擊漏洞
周二的時候,谷歌公布其在蘋果公司的圖像 I/O 中發現了當前已被修復的一些 bug 。對於該公司的平台來說,Image I/O 對其多媒體處理框架有著至關重要的意義。ZDNet 報道稱,谷歌旗下 Project Zero 團隊在周二概述了該漏洞的諸多細節。若被別有用心者利用,或導致用戶遭遇「零點擊」攻擊。
來源:cnBeta.COM
安徽警方破獲非法侵入計算機信息系統案 「黑客」盜取百萬餘條公民個人信息
近日,安徽滁州市公安局琅琊分局在公安部「凈網 2020」專項行動中,破獲一起特大侵入計算機信息系統盜取公民信息案,在滁州、昆明、西安三地先後抓獲趙某、黃某某、李某某三名網路「黑客」,查獲被盜的公民個人信息 100 余萬條,扣押電腦硬碟三塊、手機 5 部。
來源:央廣網
B 站 500 萬粉 up 主黨妹被黑客勒索 專家表示無解
日前,在 B 站擁有超 500 萬粉絲的 UP 主「機智的黨妹」發布視頻稱,自己遭到了黑客的病毒「勒索」,需要交錢才能贖「人」!她表示自己正在製作的數百 GB 的視頻素材文件,全部被病毒加密綁架,黑客只留下一封勒索信:想拿回這些素材?乖乖交贖金吧。並且,有網路安全專家表示,當下對這種勒索病毒無能為力。
來源:快科技
黑客威脅要泄露高端建築公司 Zaha Hadid 的數據
一群黑客攻擊了 Zaha Hadid Architects 的網路,後者是全球領先的建築公司之一,負責全球數百種高端建築設計。入侵發生在上周,黑客竊取了公司網路中的文件,使用勒索軟體對文件進行了加密,現在威脅要在黑網上發布敏感信息,除非公司支付大量的勒索要求。
來源:ZDNet
(信息來源於網路,安華金和搜集整理)
