Skip to main content

LoopDNS资讯播报

LoopDNS资讯播报
LoopDNS资讯播报
LoopDNS 综合资讯---简洁,及时,快速,准确


频道: @DNSPODT

电报讨论组: @LoopDNS

撤稿流程: https://t.me/loopdns/107752

  1. 知情人士称中国政府正考虑出台一揽子政策措施,推动中国经济企稳回升。
    这些计划至少包含十几项措施,涵盖从支持房地产,到提振内需等多个方面。拟议的措施包含降息。
    该方案尚未最终确定,国务院最早或于本周五进行讨论,因此方案可能还有变化。
    Bloomberg

  2. 知轩藏书”网站关闭

    知轩藏书( https://www.zxcs.me )是一个提供免费下载盗版小说的网站,是许多读者的首选之一。去年站长还在下载页面请求用户关闭浏览器广告拦截扩展,以提供对网站支持。

    有位“笔者”的网友购买下 zxcs.me 解析 ip 为 92.242.62.123 的 VPS 给大家提供了情况说明,域名 zxcs.me 未在“笔者”手中,它将在 2023年10月30日到期释放。

    从 2023 年 4 月 5 日开始,用户无法访问知轩藏书站点。初步判断是站长未续费网站服务器所导致的问题。2023 年 5 月下载服务器也被关闭,由此可见站长已无意愿维护网站,可以正式宣告知轩藏书站点的关闭。

    截至发稿,对于知轩藏书网站关闭的原因,目前还没有官方的解释。

  3. OpenAI 发布更新,函数调用和其他 API 更新

    我们宣布了一些更新,包括更多可调控的 API 模型、函数调用能力、更长的上下文和更低的价格。

    今天,我们有一些令人兴奋的更新:

    1.在Chat Completions API中添加了新的函数调用功能。
    2.更新了gpt-4和gpt-3.5-turbo的更多可控版本。
    3.推出了gpt-3.5-turbo的新版本,具有16k的上下文长度(标准版本为4k)。
    4.我们的最先进的嵌入模型成本降低了75%。
    5.对于gpt-3.5-turbo的输入令牌,降低了25%的成本。
    6.宣布了gpt-3.5-turbo-0301和gpt-4-0314模型的停用时间表。

    更低的价格

    Embeddings
    Text-embedding-ada-002 现在每 1,000 个代币的价格为 0.0001 美元,比之前的价格降低了 75%。

    GPT-3.5 Turbo
    gpt-3.5-turbo是我们最受欢迎的聊天模型,为数百万用户提供 ChatGPT 支持。今天,我们将 gpt-3.5-turbo 的输入代币成本降低了25%。开发人员现在可以以每 1K 输入令牌 0.0015 美元和每 1K 输出令牌 0.002 美元的价格使用该模型,这相当于每美元大约 700 页。
    gpt-3.5-turbo-16k定价为每 1,000 输入代币 0.003 美元,每 1,000 输出代币 0.004 美元。

    来源:openai.com

  4. 报道称,由于中国的“荒谬”言论,中韩关系有所恶化,除非中国尊重韩国,否则难以寻求共同价值观。韩国计划降低对电池材料等中国商品的依赖,但并非完全与中国脱钩。
    根据表态,韩国或在必要情况下改变与中国的“萨德三不”安全谅解的定义(不部署新萨德、不加入美国导弹防御系统、不谋求美日军事结盟)。

    via 外汇交易员

  5. YouTube降低视频创作者开通盈利的条件

    YouTube正在降低视频创作者获准加入YouTube 合作伙伴计划的要求。

    YouTube开通收益,获得合作伙伴计划资格的新条件是:
    *拥有500个订阅者;
    *过去 90 天内公开上传 3 次;
    *以及过去一年的 3000 小时观看时间或者过去 90 天内的 300 万 Shorts 观看次数。

    YouTube 正在美国、英国、加拿大、台湾和韩国应用这一新的资格标准。稍后,它将推广到支持 YPP 的其他国家/地区。

    来源: techcrunchtheverge

  6. Spotify 在瑞典因违反 GDPR 而被罚款 500 万欧元。

    音乐流媒体巨头 Spotify 在被指控侵犯欧盟用户的数据访问权多年后,在瑞典面临约 500 万欧元(540 万美元)的罚款要求。虽然用户有权访问他们的所有数据和有关数据使用的信息,但 Spotify 并未完全遵守这一义务。IMY 负责此案,因为 Spotify 的主要机构在瑞典。

    2019 年 1 月 18 日,noyb 对各种流媒体服务提出了多项投诉,因为它们没有为用户提供一种简单的方式来行使 GDPR 第 15 条规定的访问权。 其中一项投诉是在奥地利提出的,涉及 Spotify 未能提供所有个人数据和有关数据使用的信息。 由于 Spotity 位于瑞典,因此该案例已发送给瑞典数据保护局 (IMY)。

    noyb的隐私律师 Stefano Rossetti补充说,我们很高兴看到瑞典当局终于采取了行动。获取有关其处理的关于他们的数据的完整信息是每个用户的基本权利。然而,这个案子花了 4 年多的时间,我们不得不向 IMY 提起诉讼才能做出决定。瑞典当局肯定必须加快其程序。

    ——noyb.eu

  7. 中国5月社会融资规模15600亿元,预期20000亿元,前值12200亿元。
    5月新增人民币贷款13600亿元,预期16000亿元,前值7188亿元。
    5月M2货币供应年率11.6%,预期12.10%,前值12.40%。M1货币供应年率4.7%,预期5.20%,前值5.30%。M0货币供应年率 9.6%,前值10.70%。

    via 外汇交易员

  10. 重要: 闲蛋面板疑似出现重大漏洞,攻击者可获取管理员账号进行资金提现及导出服务端全部配置和相关服务器详细信息

    漏洞原理: 登录后闲蛋面板直接返回了相关用户的登录信息,包括邮箱及明文密码,普通用户访问特定链接通过查阅 userType:0 即可获取管理员账号及加密密码,登录后与管理员权限相同,可执行全部操作,包括进行支付提现和导出配置数据

    注意:管理员密码仅用 MD5 转换一遍,安全级别低,攻击者碰撞成本较低

    处置建议: 无,建议关机到发布修复补丁

    利用难度: 一般,无特殊环境要求

    使用情况: 已出现在野利用

    勘误补充: MD5 不是加密算法,因为它不涉及密钥的使用,也不会对原始数据进行加密处理,而是将数据压缩成固定长度的摘要值,常用于数据完整性校验和数字签名等场景。

  11. LoopDNS资讯播报
    [漏洞/一般] ACME 客户端证书获取过程中存在可执行任意代码/命令注入漏洞,且中国证书颁发机构 HiCA 在运行过程中滥用了这个漏洞 原理:acme.sh 处理 ACME 数据时,如果服务器返回的响应不是预期的 JSON 格式,而是其他任意内容,那么 acme.sh 会将这些内容原样输出。在这种情况下,HiCA 利用这个特性,通过 Unicode 生成一个二维码,然后注入到 ACME 数据中。然后输出了一个二维码 据 Matt Holt 表示这是他知道的首次对 ACME 生态系统的公然滥用,同时担…
    简讯: HiCA 发布公告宣布停止所有服务,告知用户切换其他服务商,同时警告 DDos 攻击者立即停止攻击,否则将会在周一向法院发起诉讼

    公告原文:
    出于安全事故考虑,HiCA选择在2023年6月6日停止所有服务。所有已签发证书请立即切换到其他CA的产品。由此带来不便我们给所有用户表示深深的抱歉。江湖路远,也许我们会再次见面的。另外有句话给 gzchenjz,请停止 DDoS 行为,所有证据已经固定,如果不停止我们将在周一起诉至法院。

    Due to security incidents, HiCA stopped all business since June 6th, 2023. All issued certificates shall consider switch to other CAs service. Deeply sorry to all subscribers. And one word to gzchenjz, please stop from all DDoS behaviors. All evidence gets solid and we shall take lawsuit if you don't stop it.

  12. 简讯: 意大利前总理、AC米兰俱乐部前主席贝卢斯科尼去世,终年86岁

    由于肺炎和一种白血病,他在几周前结束了长达 45 天的长期住院治疗后,于上周五返回了圣拉斐尔。

    国葬于周三在米兰的大教堂举行

    来源: 晚邮报

  13. WSJ报道,美国将允许韩国、台湾芯片生产商维持在中国的业务。

    知情人士透露,美国商务部分管工业和安全的副部长艾伦·埃斯特维兹上周在一次行业聚会上表示,拜登政府打算延长美国出口管制政策的现有豁免期限。
    美国去年10月对中国半导体行业实施限制,但同时也给了几家公司为期一年的豁免。

    via 外汇交易员

  14. FT报道,荷兰教育部长称,“鉴于对国家安全构成的潜在风险”,政府计划对中国留学生进行审查。目前已开展一项研究,调查受中国国家留学基金委员会资助的研究人员数量以及涉及的领域。此外,荷兰也准备制定知识安全筛查法来评估风险。
    ft.com/content/8609b715-aa2b…

    via 外汇交易员

  16. 简讯: Debian 13 预计将在 2025 年左右发布,使用名为 "Trixie" 的代号,它是蓝色的塑料玩具恐龙,最早出现在《玩具总动员 3》。

    同时据 Debian 开发者团队在更新邮件内透露 RISC-V 64 位移植其实取得良好进展,但并未实装到 Debian 12 中。很可能会在 Debian 13 中进一步完善,然后提供官方 RISC-V 支持。但新架构的鉴定需要在 Debian Trixie 周期的后期进行,这项工作预计将在一年半到两年后的 Debian 13 beta 版本正式开始。

  18. 重要: 部分应用内置的支付宝支付组件可能有身份验证漏洞,存在盗刷风险

    原理: 部分应用内置支付宝支付组件,可在用户无支付宝 App 环境下快捷付款,但该组件存在可被抓包劫持的问题,攻击者可通过流量抓包捕获验证码请求,并篡改短信获取手机号码实现验证码登录,但支付仍然需要支付密码才能成功支付

    漏洞级别:重要[需要用户注意]

    漏洞利用难度: 一般[攻击者需要持有目标多项信息,但信息获取难度较低,虽然支付宝存在安全风控防护,但仍然存在被批量风险]

    注意: 由于国内隐私问题,大量公民个人信息泄露,攻击者非常容易凑齐大量公民的手机号码,户主名称以及身份证号码,加上用户习惯性的将自己生日或某账号等设置为自己的六位数支付密码,攻击者非常容易实现批量碰撞盗刷

    由于支付组件会缓存用户登录信息方便快捷付款。所以登录状态可能会出现被长时间缓存至攻击者设备内,但每次付款仍然需要输入支付密码,但更改支付密码并不能将所有设备踢出支付状态。

    攻击者在获取登录状态过后,可持续性的查看账号内的金额,绑定卡片等一系列私密信息

    处置建议: 更改自己支付宝支付密码,尽量不要使其与自己身份产生关联,采用随机六位数字,避免使用生日等重要日期,开启支付宝通知权限,及时获取支付消息,确保每一笔支付由本人支付

    注意: 由于支付宝存在安全支付风控措施,所以攻击者只能尝试进行小额支付,用户需注意自己账户是否出现密集的小额扣款及未知小额扣款

  19. 简讯: 6月10日,国铁集团在12306网站(含手机客户端,下同)试行在线选铺服务,选择通达全国各区域的230趟高铁、普速旅客列车作为试点,对普速列车软卧、硬卧和动车组软卧、一等卧、二等卧等铺别提供在线自主选铺服务,同时,继续实行对60岁以上老人等重点旅客优先分配下铺的服务。

  20. Twitter 将开始为创作者在回复中投放的广告付费。

    马斯克在推文中说到:几周后,X/Twitter 将开始为创作者在回复中投放的广告付费。 第一笔大笔付款总额为 500 万美元。
    请注意,创作者必须经过验证,并且只有投放给经过验证的用户的广告才算数。

    来源:马斯克推特