GitLab 修复高危 2FA 绕过与 DoS 漏洞,敦促私有部署用户尽快升级
GitLab 官方于 1 月 21 日发布安全更新,修复了影响社区版(CE)和企业版(EE)的多个高危安全漏洞。其中,编号为 CVE-2026-0723 的漏洞源于身份验证服务未检查返回值,导致已知账户 ID 的攻击者可通过伪造设备响应绕过双重身份验证(2FA)。此外,本次更新还解决了两个可能导致拒绝服务(DoS)的高危漏洞,涉及畸形认证数据及 API 授权验证缺陷。
目前 GitLab.com 已完成修复,官方建议私有部署用户立即升级至 18.8.2、18.7.2 或 18.6.4 版本。据 Shadowserver 数据显示,全球目前有近 6,000 个 GitLab 实例暴露在公网,存在潜在受攻击风险。
BleepingComputer
🍀在花频道 🍵茶馆聊天 📮投稿
GitLab 官方于 1 月 21 日发布安全更新,修复了影响社区版(CE)和企业版(EE)的多个高危安全漏洞。其中,编号为 CVE-2026-0723 的漏洞源于身份验证服务未检查返回值,导致已知账户 ID 的攻击者可通过伪造设备响应绕过双重身份验证(2FA)。此外,本次更新还解决了两个可能导致拒绝服务(DoS)的高危漏洞,涉及畸形认证数据及 API 授权验证缺陷。
目前 GitLab.com 已完成修复,官方建议私有部署用户立即升级至 18.8.2、18.7.2 或 18.6.4 版本。据 Shadowserver 数据显示,全球目前有近 6,000 个 GitLab 实例暴露在公网,存在潜在受攻击风险。
BleepingComputer
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
受丹麦与美国就格陵兰岛问题关系紧张影响,丹麦 App Store 近期出现抵制美国产品类应用下载热潮。根据 Sensor Tower 和 Appfigures 数据,NonUSA(UdenUSA)于 2026 年 1 月 21 日升至丹麦应用下载榜榜首,另一款应用 Made O’Meter 位列第四。
此类应用通过扫描条形码识别产品原产地,并为用户提供丹麦本土替代方案。数据显示,NonUSA 的排名从 1 月 9 日的第 441 位一路攀升至首位。尽管用户是在美国公司开发的硬件和系统上使用此类应用,但丹麦消费者仍以此表达对当前外交局势的不满。
9To5Mac
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
据 Tom's Hardware 报道,Steam 客户端被指存在隐私漏洞。即便用户将状态设为“离线”或“隐身”,其后端连接管理器(Connection Manager)仍会向好友广播登录与登出时间。
研究人员 Xmrcat 披露,该漏洞通过 Protobuf 消息传输原始 Unix 时间戳,可被用于分析用户的睡眠周期或活动规律。Valve 在收到 HackerOne 报告后将其标记为“提供信息(Informative)”并关闭,理由是该数据仅发送给好友,默认双方存在信任关系。
Tom's Hardware
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
Blue Origin(蓝色起源)于 1 月 21 日推出 TeraWave 卫星通信网络,旨在为企业、数据中心及政府提供最高 6 Tbps 的对称传输速度。该系统由 5,408 颗低轨(LEO)与中轨(MEO)卫星组成,通过光链路和 Q/V 频段实现全球覆盖。项目计划于 2027 年第四季度启动部署,届时将与 SpaceX 的 Starlink 及亚马逊的 Leo 网络展开直接竞争。
Blue Origin | CNBC
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
苹果正在开发一款内置人工智能功能的可穿戴别针式设备,体积较小,可固定在衣物上,定位为独立于手机之外的新硬件形态。配备摄像头、扬声器、麦克风和无线充电功能,最早可能在 2027 年发布。该设备预计将依托苹果自研的人工智能系统,支持语音交互及部分日常任务处理。
The Information
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
苹果公司计划在 6 个月内推出一款 Siri 聊天机器人,预计于 2026 年 6 月的 WWDC 随 iOS 27 等系统预览版亮相。该机器人基于与 Google Gemini 团队合作开发的自定义模型,具备网页搜索、内容创作、图像生成及深度设备控制等功能。
由于 AI 计算成本高昂,苹果或效仿行业通用的每月 20 美元订阅制,或采取类似 iCloud 的“免费+付费”阶梯定价模式。目前,苹果正讨论在 Google 服务器上运行该模型。随着自研机器人的上线,现有的 ChatGPT 集成功能可能会被移除。
MacRumors
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
最新研究显示,全球女孩进入青春期的平均年龄持续提前。 1840 年代初潮平均年龄约为 16 至 17 岁,现已降至约 12 岁。美国乳房发育起始年龄也从 1960 年代的 11 岁降至 1990 年代的 9 至 10 岁。
该趋势在 COVID-19 疫情期间有所加速。肥胖被认为是主要驱动因素,环境激素干扰和心理压力亦有影响。发育提前会增加肥胖、心脏病及抑郁等风险。为此,内分泌学会(Endocrine Society)拟于 2026 年中期发布临床指南,重新界定性早熟标准并优化治疗方案。
Nature
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
Netflix 确认将在 2026 年晚些时候推出改版移动端 App,把竖屏视频信息流更深度整合进来。该功能已测试超过 6 个月,自 2026 年 5 月起做实验。
目前测试内容主要是剧集和电影的短预告;联席 CEO Greg Peters 在财报电话会上称,未来可能扩展到更多片段形态,例如视频播客,并押注可滑动的短内容来提升注意力和 App 内停留时间。
9To5Mac
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
Pwn2Own Automotive 2026 开赛,特斯拉车载系统遭 37 个零日漏洞攻破
2026 年 1 月 21 日,Pwn2Own Automotive 汽车黑客大赛在东京开幕。首日比赛中,安全研究人员利用 37 个零日漏洞成功攻破特斯拉车载信息娱乐系统及多款充电设备,累计获得奖金 516,500 美元。
其中,Synacktiv 团队通过 USB 攻击链获取了特斯拉系统的 root 权限。Fuzzwareio 等团队则披露了 Alpitronic 和 Autel 充电站的安全缺陷。根据规则,受影响厂商拥有 90 天时间发布安全补丁,随后 Trend Micro 的 Zero Day Initiative 将公开漏洞细节。
BleepingComputer
🍀在花频道 🍵茶馆聊天 📮投稿
2026 年 1 月 21 日,Pwn2Own Automotive 汽车黑客大赛在东京开幕。首日比赛中,安全研究人员利用 37 个零日漏洞成功攻破特斯拉车载信息娱乐系统及多款充电设备,累计获得奖金 516,500 美元。
其中,Synacktiv 团队通过 USB 攻击链获取了特斯拉系统的 root 权限。Fuzzwareio 等团队则披露了 Alpitronic 和 Autel 充电站的安全缺陷。根据规则,受影响厂商拥有 90 天时间发布安全补丁,随后 Trend Micro 的 Zero Day Initiative 将公开漏洞细节。
BleepingComputer
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
北京时间 1 月 24 日 23 点,U23 国足将在沙特阿拉伯吉达对阵卫冕冠军日本队,向冠军发起冲击。中国使领馆工作人员与沙特足协协商后确定,比赛当天所有中国球迷可免票入场观赛,“退钱哥”何胜透露自己已购票并打趣要求退钱。
中国驻吉达总领事馆澄清,亚足联与沙特足协仅通过当地侨团向在沙华侨、中资机构及留学生赠送了部分门票,并不存在面向全体中国球迷免费发放或凭护照入场的安排。球迷入场仍需验证电子门票动态二维码。
新华社
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
Kioxia 高管:2026 年 NAND 产能已售罄,客户还面临最高 30% 涨价
日本存储厂商 Kioxia 负责内存业务的董事总经理中户俊介称,公司 2026 年 NAND 闪存产量已全部卖完,AI 行业拉动需求导致供需持续紧张,至少会延续到 2027 年。
他表示 Kioxia 会优先履行既有合同,不搞“先到先得”或“价高者得”,但连长期客户也要承受最高约 30% 的同比涨价;同时他对 QLC 的寿命和性能持保留态度。
PC Gamer
🍀在花频道 🍵茶馆聊天 📮投稿
日本存储厂商 Kioxia 负责内存业务的董事总经理中户俊介称,公司 2026 年 NAND 闪存产量已全部卖完,AI 行业拉动需求导致供需持续紧张,至少会延续到 2027 年。
他表示 Kioxia 会优先履行既有合同,不搞“先到先得”或“价高者得”,但连长期客户也要承受最高约 30% 的同比涨价;同时他对 QLC 的寿命和性能持保留态度。
PC Gamer
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
1 月 21 日,英伟达(NVIDIA)创始人黄仁勋在达沃斯世界经济论坛与贝莱德 CEO 拉里·芬克对话。黄仁勋回顾称,曾于公司市值 3 亿美元时减持股票为父母购车,并笑称那是“世界上最贵的车”。目前英伟达市值约 4.33 万亿美元。
谈及行业趋势,黄仁勋指出大模型通用推理、推理能力开放化及物理 AI 现实化是过去一年的三大关键变化,标志着 AI 正从数字世界走向物理世界。
快科技
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
“扫一扫”可知“准不准” 电子秤智慧监管平台上线
2026 年 1 月 21 日,市场监管总局开发的全国电子计价秤智慧计量监管平台启动试运行。该平台系国内首个实现全链条非现场穿透式监管的智慧平台,目前已有 134 家生产企业、2163 家计量检定技术机构及 3430 个市场监管部门入驻。
平台通过防伪增强技术汇聚电子计价秤型式评价、生产、强制检定及维修等全生命周期数据,具备非法改动自动预警功能。此外,平台向公众开放查询服务,用户可通过“扫一扫”等方式核实电子计价秤的合规性信息。
央视新闻
🍀在花频道 🍵茶馆聊天 📮投稿
2026 年 1 月 21 日,市场监管总局开发的全国电子计价秤智慧计量监管平台启动试运行。该平台系国内首个实现全链条非现场穿透式监管的智慧平台,目前已有 134 家生产企业、2163 家计量检定技术机构及 3430 个市场监管部门入驻。
平台通过防伪增强技术汇聚电子计价秤型式评价、生产、强制检定及维修等全生命周期数据,具备非法改动自动预警功能。此外,平台向公众开放查询服务,用户可通过“扫一扫”等方式核实电子计价秤的合规性信息。
央视新闻
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
1 月 21 日,京东京造自营投资金旗舰店上架一款 Au99.99 黄金手机壳产品,定价 11299 元起,目前仅适配苹果 iPhone 17 Pro Max 机型。该产品由手机壳和可拆卸金片两部分组成,金片提供五种规格:10 克售价 11299 元、20 克售价 22499 元、30 克售价 33699 元、50 克售价 56199 元、100 克售价 112299 元。
商家表示,该产品不支持七天无理由退换货,因国际金价波动,店内金价会根据市场因素调整,不支持退款退货、补差价或指定时间发货。
快科技
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
Curl 将于 1 月底终止漏洞赏金计划,以遏制 AI 生成的低质量报告
开源数据传输工具 Curl 的维护者 Daniel Stenberg 宣布,该项目将于 2026 年 1 月底正式终止漏洞赏金计划。此举旨在应对近期大量涌现的 AI 生成报告,这些低质量内容严重增加了安全团队的审核负担。
Stenberg 指出,关闭赏金旨在消除提交者为了奖金而提供未经研究报告的诱因。尽管不再支付费用,他仍希望开发者继续提交真实的漏洞信息。此外,他表示将保留对浪费时间的低质量提交进行公开批评的权利,以强调报告者必须能够理解并复现漏洞。
The Register
🍀在花频道 🍵茶馆聊天 📮投稿
开源数据传输工具 Curl 的维护者 Daniel Stenberg 宣布,该项目将于 2026 年 1 月底正式终止漏洞赏金计划。此举旨在应对近期大量涌现的 AI 生成报告,这些低质量内容严重增加了安全团队的审核负担。
Stenberg 指出,关闭赏金旨在消除提交者为了奖金而提供未经研究报告的诱因。尽管不再支付费用,他仍希望开发者继续提交真实的漏洞信息。此外,他表示将保留对浪费时间的低质量提交进行公开批评的权利,以强调报告者必须能够理解并复现漏洞。
The Register
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
多位行业分析师与爆料者近日披露,苹果公司计划在 2026 年推出的 iPhone 18 Pro 系列中保留灵动岛(Dynamic Island)设计,而非此前传闻的挖孔屏。分析师 Ross Young 证实,苹果拟将 Face ID 的红外泛光照射器移至屏幕左上方的屏下区域,而点阵投影器与前置摄像头仍保留在中央。这一调整将使灵动岛的体积显著缩小。
此前关于挖孔屏的报道疑似源于对组件迁移信息的误译。除设计变更外,该系列机型预计还将搭载可变光圈后置摄像头及更大容量的电池,并于 2026 年 9 月正式发布。
Digital Trends | MacRumors
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
近日,埃隆·马斯克在X平台上公开质疑瑞安航空飞机空气动力学设计,称其“糟糕”,瑞安航空随即展开回击,双方互喷数日。
1月20日,欧洲廉航巨头瑞安航空宣布启动限时闪购活动,称此“大白痴座位售卖”专供“X上的白痴们”,并调侃“在马斯克买票前赶紧抢”。从都柏林出发的多条欧洲航线单程机票低至14.99欧元起,部分航线为16.99欧元,涵盖英国、德国、法国、意大利、比利时、克罗地亚等20余个热门目的地。此次促销提供10万张特价座位,预订期限仅至1月22日,旅行有效期为1月22日至4月30日,覆盖春季出行高峰。
Ryanair | 购票链接
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
上海税务部门对“拼多多”未按规定报送涉税信息处罚 10 万元
1 月 21 日,国家税务总局上海市长宁区税务局披露,因上海寻梦信息技术有限公司(“拼多多”运营主体)未按《互联网平台企业涉税信息报送规定》报送 2025 年第三季度涉税信息,且在责令限期改正后逾期未完成整改,该局依法对其处以 10 万元罚款。
新华网
🍀在花频道 🍵茶馆聊天 📮投稿
1 月 21 日,国家税务总局上海市长宁区税务局披露,因上海寻梦信息技术有限公司(“拼多多”运营主体)未按《互联网平台企业涉税信息报送规定》报送 2025 年第三季度涉税信息,且在责令限期改正后逾期未完成整改,该局依法对其处以 10 万元罚款。
新华网
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
《愤怒的小鸟》重返中国市场,由金山世游独家代理发行
1 月 21 日,Rovio 官方宣布《愤怒的小鸟》正式重回中国市场,由金山世游负责独家发行与运营。此次推出的《愤怒的小鸟:经典归来》在保留标志性弹弓玩法的基础上,新增了魔法系统及国服独占的地图编辑器“捣蛋工坊”。Rovio 首席执行官亚历山大·佩尔蒂埃-诺曼德(Alexandre Pelletier-Normand)表示,中国玩家的热情是其回归的核心动力。目前,相关话题已登上社交平台热搜。
新浪财经
🍀在花频道 🍵茶馆聊天 📮投稿
1 月 21 日,Rovio 官方宣布《愤怒的小鸟》正式重回中国市场,由金山世游负责独家发行与运营。此次推出的《愤怒的小鸟:经典归来》在保留标志性弹弓玩法的基础上,新增了魔法系统及国服独占的地图编辑器“捣蛋工坊”。Rovio 首席执行官亚历山大·佩尔蒂埃-诺曼德(Alexandre Pelletier-Normand)表示,中国玩家的热情是其回归的核心动力。目前,相关话题已登上社交平台热搜。
新浪财经
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
台积电计划取消苹果的优先发货待遇,原因是手机芯片已非其首要营收来源。虽然苹果已获得台积电超半数 2 纳米初期产能,用于 iPhone 18 系列的 A20 及 A20 Pro 芯片,但在人工智能热潮推动下,英伟达已在 2025 年取代苹果成为台积电最大客户。
据报道,台积电 CEO 魏哲家近期突访苹果并提出大幅涨价要求。台积电计划自 2026 年起连续四年上调先进制程价格,A20 芯片单价预估已达 280 美元。目前 2 纳米制程流片量已达 3 纳米的 1.5 倍,英伟达贡献台积电总营收的 13%,而苹果在 2024 年的贡献比例为 24%。
AI云资讯
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd