0、微信跳一跳不仅可以用 Python 刷分,竟然还可以直接改分‍

最近这两天，从微信最新版内测开始，微信小程序的游戏：跳一跳，可以说是火爆了微信好友圈。于是游戏高分攻略就来了：

但今天要说的不是通过攻略拿高分，而是从技术层面去实现高分：在 Github 上面已经有人用 Python 来玩跳一跳这个游戏了，想多少分就有多少分。GitHub地址：https://github.com/wangshub/wechat_jump_game

除了可以用 Python 实现高分，还有网友爆料还可以直接伪造 POST 请求刷分,直接改分数。

昨日，V2EX 网站上一篇题为《微信跳一跳 可以直接更改分数， POST 请求没有校验… 》的文章获得大量曝光，帖中指出微信小程序存在漏洞，跳一跳小游戏可以直接改分数。

用户朱鹏飞根据帖子的指引，发现甚至连微信小程序、小游戏的源代码都可以直接下载，只需要知道 appid 和 版本号，就可以直接构造 URL 下载后缀为 wxapkg 的源码包，不需要任何验证。

不过，据微信公众号“小专栏平台”消息，截自 1 月 1 日 23：50，微信官方已经修复了这个漏洞。

1、刘强东深情亲吻章泽天：奶茶妹妹新年秀恩爱超甜蜜‍

2018 年的第一天，CEO 刘强东夫人章泽天在自己的 instagram 上分享了一组图片，展示了自己和刘强东度假的场景，十分甜蜜。根据章泽天 ins 上的坐标，不难推测元旦当天她跟老公刘强东正在泰国普吉岛度假，这应该是他们首次公开如此亲密的照片。‍

2、Google 高性能 RPC 框架 gRPC 1.8.3 发布‍

gRPC 1.8.3 已发布，gRPC 是一个高性能、开源、通用的 RPC 框架，更新内容：

● Eliminate superfluous log error messages (#13882)

● Fix Bazel build issues (#13863)

● ......（详情：https://github.com/grpc/grpc/archive/v1.8.3.zip）

3、JavaScript MVC 框架 Ember.js v2.18.0 发布‍

Ember.js v2.18.0 发布，Ember.js 是一个用于创建 web 应用的 JavaScript MVC 框架，采用基于字符串的 Handlebars 模板，支持双向绑定、观察者模式、计算属性（依赖其他属性动态变化）、自动更新模板、路由控制、状态机等。更新内容：

● Begin publishing npm tarballs to S3

● `null` should disable `concatenatedProperties` and `mergedProperties` 

● removed `return this` in `lib/observer` 

● Add internal "TBD" deprecations feature（详情：https://github.com/emberjs/ember.js/archive/v2.18.0.zip）

4、Arch Linux 2018.01.01 发布，支持 Linux 4.14 LTS 内核‍

Arch Linux 2018.01.01 ISO，它是第一个使用最新的 Linux 4.14 LTS 内核。尽管 12 月份的 Arch Linux ISO 快照仍然是 Linux 4.13 系列的内核提供支持，但是2018年1月的发行版对所有新安装都使用了 Linux 内核 4.14.9，而最近发布的 Linux 内核 4.14.10 仍在测试中。‍

5、Facebook 开源语音识别工具包 wav2letter‍

Facebook AI 研究院近日开源了一款简单高效的端到端自动语音识别（ASR）系统 wav2letter，wav2letter 实现的是论文 Wav2Letter: an End-to-End ConvNet-based Speech Recognition System 和及 Letter-Based Speech Recognition with Gated ConvNets 中提出的架构。如果你使用 wav2letter 或相关的预训练模型，需引用其中的一篇论文。 另外，如果想要立刻进行语音转录的，Facebook 还提供了 Librispeech 数据集上预训练模型。（详情：https://github.com/facebookresearch/wav2letter）‍

6、腾讯开源高性能通用频率控制组件 libwxfreq‍

libwxfreq 是腾讯 2018 年开源的首个项目，这是一个采用多级 hash 作为底层存储模型的高性能通用频率控制组件。通过简洁的几个接口，既可以单机使用，也可以配合其他网络框架，轻松搭建一个通用的频率控制服务。组件特性：

● 高度可配置：统计维度可配置、统计时长可配置、频率规则可配置

● 支持任意 key 类型

● 底层存储模型无锁化设计

● ......（详情：https://github.com/Tencent/libwxfreq）

7、macOS 再曝重大安全漏洞，或许已存在 15 年‍

据 SecurityWeek 报道，在 2018 年的第一天，专门研究苹果操作系统的研究人员 Siguza 公布了 macOS 中一个未修复漏洞的细节。该漏洞基于 IOHIDFamily 0day，他将其称为 IOHIDeous ，可以被利用来完全控制你的系统，有权访问系统的攻击者可以利用此漏洞来执行任意代码并获得 root 权限。

Siguza 指出，他发现的 Bug 会影响所有版本的 macOS ，并可能导致内核中的任意读/写漏洞。他还表示该漏洞至少2002年就存在了。

8、Kernel prepatch 4.15-rc6 发布‍

Kernel prepatch 4.15-rc6 发布了。Linux 是一个宏内核（monolithic kernel）系统。设备驱动程序可以完全访问硬件。Linus 说，“4.15-RC6 内核的 prepatch 已经发布了测试。如果不是最终的 x86 PTI，也会在 diffstat 中显示出来。大约有一半的 rc6 是在 x86 工作。 “（详情：https://lwn.net/Articles/742449/）‍

9、存活率不足一成，92% 的开源区块链项目已不再活跃‍

知名咨询机构德勤统计发现，GitHub 上有关区块链的项目有 86034 个，每年平均增长 8600 个新项目。其中，单 2016 年就增加了约 27000 个新区块链项目。但严峻的现实是，只有 8% 的项目是活跃的，在过去的 6 个月中有更新。‍

近期热点回顾：