沙特阿拉伯、卡塔尔、阿联酋和其他一些国家问我,能不能把袭击推迟两三天。”——特朗普谈伊朗袭击事件。“我们原本准备明天发动一次非常大规模的袭击。”“我已经推迟了一段时间。希望如此,也许永远如此,但或许只是暂时的。”
来源:TrumpTruthOnX
来源:TrumpTruthOnX
LoopDNS资讯播报
-
-
- 消息人士:美国提议在谈判期间暂时豁免对伊朗石油制裁
据塔斯尼姆通讯社(Tasnim News)报道,一名接近伊朗谈判团队的消息人士表示,美国在一份新的协议草案中已同意在谈判期间暂时豁免对伊朗的石油制裁。
报道称,该豁免将通过美国外国资产控制办公室(OFAC)的临时豁免机制实施,直至最终协议达成为止。
报道还补充称,伊朗仍坚持要求,作为任何协议承诺的一部分,必须全面取消所有制裁。
来源:First Squawk - 欧盟计划强制企业从非中国供应商采购零部件
欧盟正在规划一项新规,要求欧洲企业——包括化工、工业机械等行业——必须从至少三家不同供应商采购关键零部件,并限制任何单一供应商的供货比例约在30%至40%之间,目标是降低对中国的依赖。
这些措施是针对欧盟对中国出口管制以及进口激增的担忧而提出的,同时也是欧盟贸易委员Maroš Šefčovič更广泛战略的一部分。该战略旨在解决欧盟每天高达10亿欧元的贸易逆差,以及所谓“贸易武器化”问题。
这项提案目前仍处于早期阶段,预计将在5月29日进行讨论,并可能于6月底获得欧盟领导人批准。
来源:FT -
- 韩国法院要求三星电子罢工行动不得影响产量
韩国水原地方法院5月18日批准了三星电子公司提出的部分禁令请求,责令该公司工会必须确保即将开始的全面罢工行动“不影响产量”,“不得导致这家全球重要的存储芯片制造商生产原料受损”。据悉,这实际上是给三星电子这次史上最大规模罢工计划“踩了急刹车”。
来源:同花顺 - 中国4月规模以上工业增加值同比增4.1%,预期5.9%;
4月社会消费品零售总额同比增0.2%,预期2.0%;
4月城镇调查失业率5.2%,预期5.3%;
1-4月城镇固定资产投资同比-1.6%,预期1.6%。
source - 4月份一线城市商品住宅销售价格环比上涨
国家统计局2026年5月18日发布的数据显示,4月份全国70个大中城市中,一线城市商品住宅销售价格环比上涨,其中新建和二手住宅环比分别上涨0.1%和0.4%。二、三线城市商品住宅销售价格环比降幅则出现收窄或与上月持平。总体来看,新建商品住宅销售价格环比上涨或持平的城市个数比上月有所增加。
从同比数据来看,一、二、三线城市的商品住宅销售价格均呈现下降态势,但部分区域的降幅较上月有所收窄。
来源:国家统计局 - 澳大利亚要求中国投资者出售稀土股份
澳大利亚政府已下令稀土公司 Northern Minerals Ltd. 的最大股东出售其股份,这是堪培拉为保护该公司免受与中国有关联的投资者影响而采取的两年内第二次此类干预。
根据财政部的一份声明 ,这家价值 2.29 亿澳元(1.63 亿美元)的公司有六名股东必须在周一(即声明发布日)起的两周内出售其股份。声明称,其中五名股东在中国或香港注册,一名在英属维尔京群岛注册。
来源:彭博社 -
- 特朗普访华行凸显全球力量向东方转移
美国总统特朗普于近日结束对中国的访问。在与中国国家主席习近平的会谈中,中方就美对台军售问题展现出强硬立场,而美方在此次出访中表现出的妥协态度引发各界关注。分析人士指出,尽管美方试图将此次访问塑造为一场胜利,但无论是在美对台军售的暂停、先进芯片出口的让步,还是在面对中方警告时的克制反应,都凸显出美国在战略博弈中的被动。
国际舆论和学者普遍认为,此次会晤的细节和舆论交锋,不仅展示了中国面对美方关税与地缘压力的强韧性,更成为全球地缘政治力量加速向东方转移的标志性缩影。尽管中国自身面临经济调整,但其在国际事务与双边关系中展现出的战略定力,表明其已确立了与美国并驾齐驱的平等大国地位。
来源:TIME -
-
- 当地时间5月16日,伊朗议会国家安全委员会主席阿齐兹在社交平台表示,在维护国家主权和保障国际贸易安全的框架下,伊朗已制定一套专业的霍尔木兹海峡航线交通管理机制,并将于近期正式公布。该机制仅对与伊朗合作的商船和相关方开放。伊朗将收取必要的费用,作为其通过该机制提供的专业服务的交换。该航线将继续对美国“自由计划”的参与者关闭。
来源:每经网 - 重要/漏洞:QEMUtiny:QEMU CXL Type-3 设备仿真存在可被利用的越界读写漏洞链
漏洞编号: 暂无公开 CVE / PoC 名称:QEMUtiny
重要等级: 需要关注的(虚拟机逃逸风险)
CVSS 分数:无
影响范围:受影响组件:QEMU CXL Type-3 设备仿真模块
受影响代码路径:hw/cxl/cxl-mailbox-utils.c
受影响功能:CXL mailbox 相关命令处理逻辑
主要受影响配置:启用了 CXL 支持的 QEMU 实例;
向 guest 暴露了 cxl-type3 设备;
guest 内攻击者具备 root 权限或可访问 PCI config / CXL BAR / mailbox MMIO 的等效能力。PoC README 明确说明复现程序需要在 guest 内以 root 运行,因为需要写 PCI config space 并通过 sysfs mmap CXL 设备 BAR。
注意: 仅安装 QEMU 但未运行相关虚拟机;普通 QEMU 虚拟机未启用 CXL / 未配置cxl-type3;QEMU user-mode emulation;物理 CXL 硬件本身通常不受影响。
漏洞原理:
该漏洞链出现在 QEMU CXL Type-3 设备仿真的 mailbox 处理逻辑中。CXL Type-3 设备在 QEMU 中用于模拟接入 CXL host 的内存设备,CXL 设备会通过 PCIe 相关接口和 BAR-mapped memory 访问寄存器与 mailbox。
漏洞链由两个核心缺陷组成:
1.GET_LOG越界读cmd_logs_get_log() 在处理 CEL log offset 时,边界检查按“字节偏移”理解,但实际 memmove() 源地址表达式中把该 offset 用在结构体指针运算上,导致可读取 CEL buffer 之外的相邻 QEMU 进程内存。PoC README 将其描述为 CXL mailbox GET_LOG 路径中的 out-of-bounds read。
2.SET_FEATURE越界写cmd_features_set_feature() 接受写入多个 feature write-attribute 结构的 offset,但部分 PPR / sparing 路径缺少 offset + bytes_to_copy 是否仍在目标结构体内的完整边界检查。PoC README 指出受影响路径包括 soft_ppr_wr_attrs、hard_ppr_wr_attrs、cacheline_sparing_wr_attrs、row_sparing_wr_attrs、bank_sparing_wr_attrs、rank_sparing_wr_attrs。
攻击者在满足前置条件后,可先利用越界读泄露 QEMU 进程地址信息,再利用越界写破坏 CXL Type-3 设备对象后续字段,最终通过 QEMU 内部 memory dispatch / sanitize 路径触发受控回调。本频道在实际复现后发现最终权限等同于运行 QEMU 的宿主进程权限,同时结合先前的内核漏洞攻击者可以获取root权限。
注意: 该漏洞依赖特定 QEMU 构建和宿主 libc 布局偏移, 目标 VM 需要暴露 CXL Type-3 设备、guest 内具备较高权限。
受影响组件:
QEMU Backend / CXL Type-3 device emulation
具体路径:hw/cxl/cxl-mailbox-utils.c
CXL mailbox LOGS / GET_LOG
CXL mailbox FEATURES / SET_FEATURE
CXL mailbox MEDIA_OPERATIONS / SANITIZE 相关触发路径
受影响对象:启用 cxl=on 的 QEMU 实例
配置了 cxl-type3 的虚拟机
将 CXL mailbox BAR 暴露给不可信 guest 的测试、云平台、CI/fuzzing 或研发环境
处置建议:
1. 排查生产和测试环境中的 QEMU 启动参数,重点确认是否存在cxl=on、cxl-type3、pxb-cxl、cxl-rp等配置。
2. 不要向不可信 guest 暴露 QEMU CXL Type-3 设备。
3. 临时禁用 CXL Type-3 emulation,或仅在隔离实验环境中使用。
参考链接:Github - 波音:“我们的中国之行非常成功,实现了重开中国市场订购波音飞机的主要目标。我们收获了包括200架飞机的初步承诺,后期预计还会达成更多的购机承诺。我们非常感谢特朗普总统以及美国政府促成这一里程碑式成果,并期待继续满足中国的飞机需求。”
来源:外汇交易员 - OpenAI 在 ChatGPT 中推出个人财务体验预览版
OpenAI 于 5 月 15 日发布 ChatGPT 个人财务体验预览版,首批面向美国 ChatGPT Pro 用户开放。用户可在 ChatGPT 网页端和 iOS 端连接金融账户,查看资金流向、投资表现、订阅、账单和支出情况,并基于个人财务数据向 ChatGPT 提问。该功能目前处于小范围预览阶段,后续计划扩展至 Plus 用户,并以面向所有用户为目标。
账户连接将通过 Plaid 完成,Intuit 支持将随后加入。OpenAI 称,该功能支持连接超过 12,000 家金融机构。用户可从 ChatGPT 侧边栏进入 Finances,也可以在对话中使用 “@Finances, connect my accounts” 启动连接流程。
OpenAI -
-
-
