WinRAR 被曝严重安全漏洞；苹果预计推出跨平台应用

(给技术最前线加星标，每天看技术热点)

转自：开源中国、solidot、cnBeta、腾讯科技、快科技等

【技术资讯】

0、WinRAR 被曝严重安全漏洞，5 亿用户受影响

在享誉全球成为必备装机软件的同时，过去19年以来WinRAR也深受各种严重安全漏洞的负面影响。根据安全公司Check Point研究人员披露的细节，在WinRAR的UNACEV2.dll代码库中发现严重安全漏洞，而该库自2005年以来就一直没有被主动使用过。WinRAR在打开“booby-trapped”（诡雷代码）文件之后允许技术娴熟的攻击者执行“任意恶意代码”。

简单来说，该漏洞允许安全专家绕过权限提升就能运行WinRAR，而且可以直接将恶意文件放进Windows系统的启动文件夹中。这就意味着当用户下次重新开机的时候，这些恶意文件就能自动运行，让安全专家“完全控制”受害者的计算机。安全专家表示，全球有超过5亿用户受到WinRAR漏洞影响。

Check Point表示WinRAR不再支持ACE存档格式（就是该漏洞的攻击文件），而且在上个月同时也删除了UNACEV2.dll文件。目前WinRAR发布了最新的测试版5.70 Beta 1,已经修复了这个问题。

不过值得注意的是，如果现在访问WinRAR的官方网站，点击下载的依然是5.61版本。而该版本目前尚未修复这个漏洞。因此你经常使用这款压缩软件，推荐通过本文下方的链接下载Beta版本。

下载：

https://www.win-rar.com/affdownload/download.php

1、苹果预计在 2021 年推出 iPhone、iPad 和 Mac 跨平台应用

据彭博社报道，苹果内部正在进行一项名为“Marzipan ” 的计划，该计划的最终目标是，为苹果应用的软件开发者开发一款开发工具，使开发者们可以开发出在 iPhone、iPad 和 Mac 三种设备上都能运行的应用程序。

对于苹果来说，每新增一款应用都使一个增加收入的机会，因为苹果可以在软件的收入种专区收益。苹果将应用收入作为一个主要的增长领域。根据彭博社最近的报道，苹果计划在3月份推出两项服务—— Apple News 订阅服务和原创视频计划。

在今年晚些时候，苹果计划为开发者提供新的开发工具，允许开发者将他们的 iPhone 和 iPad 应用移植到 Mac 电脑上，该公司最早将于今年6月份的苹果开发者大会上正式发布这个工具。根据知情人士透露，即使推出这种跨平台工具，开发者仍需要向苹果提供 iPad 和 Mac 版本的应用，但是新的工具包使用相同的底层代码，所以不必编写多次底层代码。

苹果计划在2020年更新这套开发套件，以保证 iPhone 应用程序可以移植到 Mac 上。这项工作很具有挑战性，因为 iPhone 的屏幕比 Mac 小的多。

到2021年，开发者能够实现使用一套代码在 iPhone、iPad 和 Mac 上开发跨端应用。官方称为“single binary”程序。此时，开发者不必再向苹果提交 iOS 和 Mac 版本的程序。两种应用程序将合二为一，在商店中发布。

对于此计划，位于加州库比蒂诺(Cupertino)的苹果公司发言人拒绝置评。

据 MacRumors 报道，苹果计划于6月3日至6月7日在加州圣何塞举行苹果开发者大会，相关信息在大会中会发布，大家敬请期待。

2、微软准备淘汰 SHA-1

Windows 7 和 Windows Server 2008 用户如果未来还想要继续获得更新，他们必须安装一个强制性补丁。

目前，微软官方更新两种不同的算法来保护 Windows 系统更新文件不被篡改：SHA-1 和 SHA-2。其中，Windows 7 和 Server 2018 使用 SHA-1 验证程序文件；Windows 8 以及更高版本使用 SHA-2 验证程序文件。三月份的补丁程序将包括 Windows 7、Windows Server R2 的一个更新，这个更新使用 SHA-2 算法。

之所以这样做，使因为 SHA-1 已经不安全。资金充足的恶意组织可以通过生成两个不同文件但具有相同 SHA-1 的例子。如果 Windows 使用 SHA-1 作为验证程序文件的算法，系统更新可能面临严重的安全问题。

SHA-1 目前已经被其他系统逐渐弃用，现在浏览器已经不信任 SHA-1 的 SSL 证书。对于 Windows Update 的更新是逐步淘汰旧算法的一个过程。从2019年6月18日开始，Windows 10更新只包含 SHA-2 的哈希值。从7月16日起，新的 Windows 7、Windows Server 2018 和 Windows Server 2018 R2 系统更新均使用 SHA-2 算法，从9月16日开始，具有 SHA-1/SHA-2 的就系统，将全部更更新为 SHA-2 支持的版本，SHA-1 版本将被剔除。

【业界资讯】

0、德国倾向于不封杀华为

在英国之后，另一个主要欧洲大国德国也倾向于不封杀华为，允许华为参加建设其当地网络基础建造工程。德国政府正计划修改法例，改善当地的网络安全保障。但这与外界对华为产品的担忧无关。德国官员也认为，相关法例不应针对华为而刻意定得过于严苛。

美国官员早前走访多个欧洲国家，警告欧洲各国使用中国科技公司华为装备可能带来风险。但英国和德国都认为，华为带来的风险是可以控制的。德国信息技术安全局（BSI）早前的测试显示，没有证据证明华为产品有后门。华为早前也在德国波恩市的办公室开设网络保安中心，让德国官员检查它旗下产品的构造和源代码，确保它们的安全性。

1、称坐顺风车出事故，乘客诉“嘀嗒出行”索赔 3.7 万元

据海淀法院官网消息，因在网约车平台“嘀嗒出行”预约顺风车后发生交通事故，乘客赵女士将驾驶人甄某、“嘀嗒出行”实际运营主体北京畅行信息技术有限公司、保险公司中意财产保险股份有限公司上海分公司、中国太平洋财产保险股份有限公司北京分公司诉至法院，要求赔偿医疗费、误工费、护理费等相关费用共计37078元。日前，海淀法院受理了此案。

原告赵女士诉称，其于2018年12月1日傍晚，在“嘀嗒出行”预约了甄某驾驶的嘀嗒顺风车，该车于18时15分由北向南行至海淀区苏家坨通和路正林街路口时与正从西向东行驶的由案外人魏某驾驶的小轿车相撞，造成两车受损，两车乘客受伤。后经交警队认定，驾驶人甄某对该事故负全部责任。

原告赵女士认为，其因乘坐“嘀嗒出行”顺风车后发生交通事故，造成头部、颈部、后背等多处创伤，后经多次住院治疗，给赵女士身心造成了巨大伤害，影响了赵女士的正常生活。其后多次联系驾驶人甄某、“嘀嗒出行”协商赔偿事宜，但均未取得成功。

目前，此案正在进一步审理中。

2、欧盟国家支持版权法改革，谷歌 Facebook 日子不好过

欧盟国家周三同意对欧盟版权法进行改革，这将迫使谷歌和Facebook等企业向出版商支付新闻概要的费用，并过滤掉YouTube或Instagram上受版权保护的内容。在今日的表决中，大多数欧盟外交官同意改革，而芬兰、意大利、卢森堡、荷兰和波兰拒绝支持这项协议，另外两个欧盟国家投了弃权票。

去年9月，欧洲议会以438票赞成、226票反对、39票弃权通过了之前备受争议的《欧洲版权指令》草案。根据欧盟的立法程序，该法案在得到欧洲议会通过后，欧洲议会议员们可开始与欧盟28个成员国代表及欧盟委员会分头谈判。上周，欧盟国家、欧洲议会和欧盟委员会的谈判达成了一致的协议。

对于修订后的《欧洲版权指令》，谷歌本月初曾表示，欧盟新的版权法草案规定没有经过仔细的平衡，将损害欧洲蓬勃发展的创意经济，包括YouTube的创作者群体，因此迫切需要修订。

谷歌还表示，该公司致力于支持高质量的新闻工作。但是，近期的辩论表明，人们对标题和片段(新闻搜索页面上的新闻概要)的价值有一个根本的误解。将片段的长度减少到几个单独的单词或简短的摘录，将使消费者更难发现新闻内容，从而降低新闻出版商的总体流量。

觉得这些资讯有帮助？请转发给更多人

关注 技术最前线 加星标，看 IT 要闻

喜欢就点一下「好看」呗~