腾讯整治扫码点餐强制关注公众号；Apache Log4j 出现第四个漏洞

↓推荐关注↓

0、Apache Log4j 出现第四个漏洞：不受控制的递归

Apache Log4j 的 2.0-alpha1 到 2.16.0 版本存在新的漏洞 CVE-2021-45105 ，此漏洞评分 7.5 ，且在刚发布的 Log4j 2.17.0 (Java 8) 中得到了修复。如果把安全公司 Praetorian 发现的第三个信息泄露漏洞也算进去，这应该是 Log4j 的第四个漏洞了。

Apache Log4j2 版本 2.0-alpha1 到 2.16.0 没有防止自引用查找的不受控制的递归。当日志配置使用带有上下文查找的非默认模式布局（例如，$${ctx:loginId}）时，控制线程上下文映射 (MDC) 输入数据的攻击者可以制作包含递归查找的恶意输入数据，导致 StackOverflowError 将终止进程。这也称为 DOS（拒绝服务）攻击。

从 2.17.0 版本（对于 Java 8）开始，只有配置中的查找字符串被递归扩展；在任何其他用法中，仅解析顶级查找，不解析任何嵌套查找。

在以前的版本中，可以通过确保您的日志记录配置执行以下操作来缓解此问题：

• 在日志记录配置的 PatternLayout 中，用线程上下文映射模式（%X、%mdc 或 %MDC）替换 ${ctx:loginId} 或 $${ctx:loginId} 等上下文查找。

• 否则，在配置中，删除对上下文查找的引用，如 ${ctx:loginId} 或 $${ctx:loginId}，它们源自应用程序外部的源，如 HTTP 标头或用户输入。

Log4j 的漏洞有点像计算机世界的新冠，一波未平一波又起，还时不时出现一些变种...

1、突破性 AI 技术实现从 2D 图像实时渲染 3D 场景

人类非常擅长根据 2D 图像理解它描绘的 3D 场景，人工智能代理则不然，然而需要与物理物体进行交互的机器——比如收割庄稼或者协助手术的机器人——必须能从它对 2D 训练图像的观察中推断出 3D 场景的特性。

虽然科学家成功使用神经网络根据图像推断出 3D 场景的模型，但这种机器学习方法速度不够快，无法适用于很多现实世界的应用。

MIT 等机构的研究人员展示的一项新技术能以比某些现有模型快 15,000 倍的速度从图像中展现 3D 场景。该方法将场景表示为一个 360 度的光场，一个函数描述了 3D 空间中流经每个点和每个方向的所有光线。光场被编码到一个神经网络中，可更快地从图像中渲染底层 3D 场景。

2、亚马逊的 Appstore 终于可以在 Android 12 系统上运行

亚马逊已经解决了让那些拥有Android 12手机的人无法使用他们从该公司的Appstore下载的应用程序的问题。"我们已经发布了对影响移动设备升级到Android 12的亚马逊Appstore客户的应用发布的问题的修复，"该公司的一位发言人周五表示。"我们正在与客户联系，提供更新其Appstore体验的步骤。我们对由此造成的任何干扰感到抱歉"。

10月下旬，网上开始出现关于Appstore的应用程序在Android 12系统上无法运行的报告。使用Google Pixel 6和三星Galaxy S21等设备的用户发现，他们无法运行之前从Appstore下载的任何软件。

也有报告称，市场上没有任何应用程序显示出来。虽然这个问题没有影响到很多人，但亚马逊花了大约一个月的时间才正式承认。

当地时间周五解决该问题后，该公司没有对外说明是什么导致了这个问题。而当问题第一次出现时，有人猜测它源于亚马逊内置的DRM和Android 12之间的不兼容。

3、梅赛德斯达到德国道路 L3 自动驾驶的法定要求

梅赛德斯奔驰成为首家满足 UN-R157 对 L3 自动驾驶系统法律要求的汽车公司。德国联邦汽车运输管理局 (KBA) 已批准了梅赛德斯的系统，为其国际推广铺平了道路——如果国家法律允许的话。

德国在 2017 年制定了针对 L3 系统的道路交通法（StVG），成为自动驾驶立法方面的先锋。客户到 2022 年上半年将可购买配备Mercedes Drive Pilot 的 S级轿车，在交通拥堵或拥塞的情况下，在德国的适用高速公路路段上，有条件地使用自动驾驶模式以最高 60 公里/小时的速度行驶。

戴姆勒和梅赛德斯-奔驰理事会成员、负责开发和采购的首席技术官 Markus Schäfer 表示：“我们多年来一直在努力实现自动驾驶愿景。通过这个基于激光雷达的系统，我们为车辆开发了一项创新技术，为客户提供独特、豪华的驾驶体验，并为他们提供最重要的东西：时间。经过当局的批准，我们现在取得了突破：我们是德国第一家将有条件自动驾驶投入量产的制造商。”

4、腾讯整治扫码点餐强制关注公众号

今年4月，上海市消保委已经多次呼吁“餐厅应该不收集或者尽可能少收集消费者的信息”。

日前，中国消费者协会表示，“扫码点餐”不应成为“单选题”，警惕“消费便利”变成“消费烦恼”。

消协指出：仅提供“扫码点餐”涉嫌过度收集消费者个人信息，侵害了消费者的公平交易权，不提供现场菜单有损消费者的知情权，新技术应用不应成为特殊消费群体的消费阻碍。

本来是既可以扫码点餐也可以人工点餐的选择项，如今却变成了变相“强制”扫码点餐。更让人不安的是，扫码点餐背后还暗藏着强制关注和信息收割的陷阱。

对此，上海市消保委认为，扫码点餐应以不获取或尽量少获取消费者信息为前提，餐厅应同时提供人工点餐选择。

近日，腾讯公司向开发者推送了关于自查"扫码点餐强制关注公众号”问题的通知。

通知指出，平台提醒开发者自查是否存在“扫码点餐强制公众号”问题，并及时进行整改，为用户提供良好的点餐体验。平台将于2022年1月17日开始对此类问题进行核查，违规的公众号将被限制二维码打开公众号能力。

对比，上海市消保委将持续关注进展，听取消费者反馈，并组织开展相关消费调查。

综合整理：技术最前线（ID：TopITNews）

参考：程序员的那些事、开源中国、solidot、cnBeta、腾讯科技等

- EOF -

觉得这些资讯有帮助？请转发给更多人

推荐关注 技术最前线，看 IT 要闻

点赞和在看就是最大的支持❤️