硬核观察 #1151 VBScript 将从 Windows 中删除
VBScript 将从 Windows 中删除
微软表示,VBScript 已被弃用,被列在其 Windows 客户端废弃功能列表中。在未来的 Windows 版本中,VBScript 将作为一项可选功能,之后会从 Windows 中删除。VBScript 首次发布于 1996 年,但其早在 2010 年就停止了开发。它是一种脚本语言,曾一度被 Windows 系统管理员广泛用于自动执行任务,直到被 2006 年问世的 PowerShell 所取代。VBScript 也曾用于 IE 和 IIS 中,但由于其它浏览器并不支持它,因此在微软独有的环境之外逐渐被 JavaScript 所取代。
老王点评:这就是微软封闭时代的遗留物之一,这些遗留物将逐渐消失在故纸堆中。
严重安全漏洞影响三年来的所有 curl 版本
前几天,curl 官方就发出预警,其正在修复一个高危安全漏洞,并将在今天发布修复版本 8.4.0。根据刚刚发布的最新版本和安全公告,这个漏洞影响从 2020 年 3 月发布的 7.69.0 到 8.3.0 的所有版本。该漏洞导致 curl 在 SOCKS5 代理握手过程中堆缓冲区溢出。鉴于 curl 和 libcurl 被广泛用在各种项目中,其带来的影响非常广泛。建议的做法是升级到最新版本,或者不要使用 SOCKS5 代理。curl 作者还就如何产生该漏洞做了深入探讨和 反省。
老王点评:虽然这种事情在所难免,但是又一次让人思考现有的开源软件供应链模式是否先天上难以免除这种风险?或许需要一些不一样的思考。
谷歌等披露 HTTP/2 “快速重置” DDoS 攻击
最近几个月,Cloudflare、AWS、谷歌以及其他大型云服务商都受到了一种新型 DDoS 攻击,其中一些 DDoS 攻击达到了每秒 2 亿至 4 亿次请求。谷歌云报告称,由于这种现在被称为 HTTP/2 “快速重置”攻击的攻击,其每秒请求数达到了破纪录的 3.98 亿。这种攻击的模式是,攻击端发起请求使服务器端开始工作,然后快速重置请求。当请求被取消,但 HTTP/2 连接仍保持开放,而服务器仍需为取消的请求做大量工作。并且,立即重置流的能力使每个连接都能无限量地发送请求。通过明确取消请求,攻击者永远不会超过并发开放流的数量限制。
老王点评:要说谁对各种协议最热衷,那就是专门盯着这些协议,以期发现各种漏洞的攻击者了。