Shawn the R0ck 写道：“ Tetrel Security 公开了一个 SLPD-Lite 漏洞（CVE-2024-41660）的细节，slpd-lite 是 OpenBMC 的组件之一，此漏洞因为由 OpenBMC（部分OEM厂商实现）网络安全产生了严重的影响，因为它允许攻击者在易受攻击的系统上远程执行任意代码。
OpenBMC 是一个为服务器开发标准基板管理控制器（BMC）的标准实现框架。BMC允许对服务器硬件进行远程管理，广泛部署在服务器硬件中，提供监控、日志记录功能以及带外恢复和维护工具。由于BMC通常具有高度特权，因此将BMC网络接口隔离到一个独立的管理网络是安全最佳实践。
Tetrel在审查OpenBMC源代码时发现了slpd-lite子组件中的两个内存损坏漏洞。在典型部署中，成功利用这些漏洞将允许具有对BMC管理网络访问权限的攻击者完全攻陷BMC。
第一个漏洞涉及堆中分配的数据的越界读取，可能泄露信息给攻击者。第二个漏洞允许攻击者在堆中分配的数据结构范围之外进行写入。结合这两个漏洞，可以直接实现远程漏洞利用。Tetrel公开了漏洞成因，和相关技术细节，包括代码片段和漏洞的潜在利用方式。同时，还提供了有关如何确认堆损坏可能性的重现步骤，以及在Ubuntu 22.04.04 LTS上测试漏洞的过程。
如果你的数据中心使用了集成spld-lite的OEM厂商提供的BMC（无论是否基于OpenBMC)，务必尽快升级。HardenedVault的OpenBMC实现由于spld-lite并没有集成，所以不受影响。”

一项针对美国学术界的广泛研究显示，团队规模越大，创新能力越弱，成员的职业前景也会受到限制。这项研究声称这对商业、军事和其他组织具有更广泛的影响。近期科学研究的趋势是组建越来越庞大的团队，共同发表越来越多的期刊论文。但研究发现，这样做的后果是，团队成员获得的研究经费越来越少，晋升速度越来越慢，获得终身职位的可能性越来越小，辞职的可能性越来越大。研究报告发表在《Nature Biotechnology》期刊上。论文作者之一的堪萨斯大学经济学教授 Donna Ginther 表示，更大规模的团队倾向于增量式，而较小的团队则更具创新性。她坚信学术论文的产出应追求质量而非数量。

上海大学理学院物理系定量生命科学硕士生刘泽飞在导师陈永聪教授指导下，首次提出大脑中的神经髓鞘可以产生量子纠缠的光子对，这一发现可能为理解大脑神经活动的同步机制提供了新的线索。研究报告发表在《物理评论E》期刊上。大脑内不同脑区间神经同步是多种神经生物学活动的基础也与诸多脑疾病如帕金森病和阿尔茨海默症相关，然而支持这种同步活动的物理机制仍不清楚。包裹在轴突外侧的脂肪分子层的髓鞘可以作为谐振腔限制神经元中产生的光子形成极化子从而增强神经电传导。除了为轴突提供能量，增强动作电位的传导，还在神经系统中充当绝缘体，这项研究提出了髓鞘可能具有的另一项功能——作为量子纠缠光子对的生成源。研究团队评估了双光子系统中量子纠缠的程度，并利用实验中得到的有髓神经结构的实际数据，展示了在神经系统中生成量子纠缠的潜力。大脑中一旦产生纠缠光子，纠缠特性就会传递到神经元的其他部分，比如在神经冲动中发挥重要作用的离子通道蛋白。

Epic Games 推出移动商店，将旗下的热门游戏《堡垒之夜》、《火箭联盟》派生作品《Rocket League Sideswipe》以及《糖豆人移动版》带到了 iOS 和 Android 平台。其中 iOS 平台仅限于欧盟地区，欧盟的《Digital Markets Act》要求苹果支持第三方应用商店。Epic Games CEO Tim Sweeney 本周早些时候对欧盟表达了谢意，称欧盟不仅通过了 DMA 法律，还对苹果和 Google 施压，确保它们不能阻碍竞争。Epic Games 的目标是到 2024 年底在 iOS 和 Android 上实现 1 亿新净安装量。

微软官方博客宣布，它在最新 Windows 11 测试版中取消了 FAT32 分区大小限制。以前 FAT32 分区限制在 32GB，这一限制是在近 30 年前微软开发者随意设置的。微软称，当用户使用 format 命令在命令行中格式化磁盘，FAT32 分区最大可设置为 2TB。但该限制只在命令行里移除，图形界面里的格式化对话框仍然有 32GB 的 FAT32 分区大小限制。前微软开发者 Dave Plummer 今年早些时候披露，将 FAT 卷的大小限制在 32GB 是他随手设定的，相关格式化对话框就是他写的。

Bioware 正式宣布其《龙腾世纪》系列最新作品《龙腾世纪：影障守护者》将于 10 月 31 日发售，目前开放预售，美区售价 60 美元，中国区售价 298 元（标准版）/398 元（豪华版，主要是多了些纯装饰皮肤），支持简体中文和繁体中文，这是《龙腾世纪》系列首次有官方中文版。Bioware 也公布了系统需求，需要 100GB 的硬盘空间，五年前的主流 CPU 和 GPU 就能达到推荐配置。《龙腾世纪》系列可能是高开低走，第一部《龙腾世纪：起源》被广泛视为史上最出色的角色扮演游戏之一，《龙腾世纪II》和《龙腾世纪：审判》都未达到第一部的高度。在《影障守护者》中，玩家将扮演洛可带领一支由七名同伴组成的影障守护者，对抗诸神，拯救一个满目苍夷的世界。

前 Google CEO 和董事长 Eric Schmidt 早些时候在斯坦福大学发表演讲，评论了 Google 和 OpenAI 之间的 AI 竞争，他认为 Google 员工的工作太轻松了，可以远程工作，可以更早下班，没有 OpenAI 员工工作拼命，这是导致 Google 在 AI 竞赛中落后的重要原因。他的这番评论引发了争议。Schmidt 随后通过发送给《华尔街日报》的电子邮件收回了这一争议评论。他在声明中表示，有关 Google 及其员工工作时间的说法有错误，他为其犯下的错误感到后悔。Stanford Online 账号在 YouTube 上传了 Schmidt 的视频，但该视频已经被设为私有，Schmidt 表示他要求将该视频下线。

俄罗斯安全公司卡巴斯基的研究人员报告，中国黑客上个月被发现入侵俄罗斯政府机构和 IT 公司的计算机。它将这一行动命名为 EastWind。攻击者首先发送含有恶意外链附件的钓鱼邮件，先是通过云储存服务 Dropbox 获取指令下载恶意程序，之后改用了俄罗斯流行的社交网络 LiveJournal 和问答网站 Quora。它在目标设备上安装了远程访问木马 GrewApach、PlugY 后门、新版本的 CloudSorcerer 后门。其中 PlugY 后门此前未知，研究人员还在分析中，它被怀疑是基于 DRBControl 后门代码开发的。

新加坡前总理、现政府资政李显龙在 Facebook 上对他的深度伪造视频发出了警告，他表示深度伪造视频制作者的动机未必是纯商业性的，存在显而易见的恶意。新加坡政府表示考虑在大选前禁止深度伪造。数字发展和信息部长 Josephine Teo 表示，新加坡可效仿韩国，韩国在 4 月议会选举前对 AI 生成内容实施了 90 天的禁令，选举期间的深度伪造制作者会面临最高 7 年的监禁或最高 5000 万韩元罚款。菲律宾选举委员会呼吁在 2025 年参议院选举前实施类似的禁令。对于政府的计划，批评者表示，我们不能假设任何问题的解决办法都是用更多的法律、更多的权力和更多的裁量权武装国家。

德国康斯坦茨大学和维尔茨堡大学领导的国际研究团队，对动物界最大基因组的拥有者——肺鱼进行了基因组测序。肺鱼基因组约为人类基因组大小的 30 倍。测序数据有望揭示当今陆地脊椎动物的鱼类祖先如何成功登陆的奥秘。泥盆纪时期（约 4.2 亿至 3.6 亿年前），一种具有强健胸鳍和肺的肉鳍鱼类成功从浅水区域登陆，并能在海岸线上移动和呼吸，这与现今的陆地脊椎动物相似。这一事件标志着脊椎动物首次在陆地上移动，是进化史上的重要里程碑。所有后续的陆地脊椎动物，包括两栖动物、爬行动物、鸟类和哺乳动物（包括人类），都可追溯至这一鱼类祖先。然而肉鳍鱼类为何如此适应陆地环境仍是未解之谜。研究人员分析了泥盆纪祖先的现存最近亲属的遗传物质。这些最近亲属中，只有 3 个谱系的肺鱼至今仍存活，分别在非洲、南美洲和澳大利亚。研究人员对这 3 种谱系的肺鱼基因组进行了完整测序。结果显示，南美洲肺鱼的遗传物质在规模上打破了所有纪录：其 DNA 超过 900 亿个碱基，是已知最大的动物基因组，其大小是之前纪录保持者——澳大利亚肺鱼基因组的两倍多。

日本建筑商大林组在 2012 年提出太空电梯计划，计划 2025 年开始动工。太空电梯是一种让人搭乘电梯从地球前往太空的梦幻运输工具。如今距离 2025 年不到半年，太空电梯进展如何？大林组技术本部的研究人员今年早些时候发表相关主题演讲时表示，虽然公司一直在认真踏实地开发关键技术，但需要解决的课题仍然堆积如山，目前离开工建设仍有距离。大林组设想首先是在高度 300km 处组装建造太空电梯用的宇宙飞船，然后令宇宙飞船移动到地球静止轨道上。接着从宇宙飞船上下伸展碳纳米管电缆，用电缆连接宇宙飞船和地面，然后在电缆上安装升降机。升降机在地面和宇宙之间穿梭，在加固电缆的同时，建设静止轨道空间站等设施。大林组的渕田安浩说：“电缆加固总共需要 510 次，到完成为止共需要大约 20 年时间”。

根据一项新的地理空间分析，中低收入国家有超过 44 亿人无法获取得到安全管理的饮用水；这些地区有近一半人口的饮用水受到粪便污染的影响。获得安全的饮用水是一种人权，也是“联合国 2030 年可持续发展议程”的核心。通过将家庭调查数据与整个地球观测数据和地理空间建​​模技术相结合，研究人员绘制了 135 个中低收入国家安全管理饮用水的详图，发现在 2020 年，这些国家中只有三分之一的人能够获取得到安全管理的饮用水。这意味着在中低收入国家中，估计有 44 亿人缺乏安全饮用水。饮用水中检测到粪便污染令人担忧，因为摄入粪便中的病原体是公共卫生的重大风险，也是导致全球幼儿死亡的一个因素。

2022 年美国国家标准技术局（NIST）宣布了后量子加密和签名算法竞赛的四位获胜者。现在它正式发布了三种后量子加密标准：基于 CRYSTALS-Kyber 的 ML-KEM 用于通用加密，ML-DSA（旧称 CRYSTALS-Dilithium）和 SLH-DSA（旧称 Sphincs+）用于数字签名，第四种 FN-DSA（旧称 FALCON）预计将在今年晚些时候完成，也将用于数字签名。四种后量子加密算法中 ML-KEM、ML-DSA 都是基于格(lattice)的算法，寻找格上的最短向量被认为是计算机领域最困难的问题之一，至今没有经典或量子算法能在多项式时间内解决该问题。NIST 还在评估两种使用不同数学方法的加密算法，万一基于格的算法被发现容易被量子计算机破解，候选算法可作为替代。

在长达 12 年的法律拉锯战之后，新西兰司法部长 Paul Goldsmith 签署了引渡令，批准将 Kim Dotcom 从新西兰引渡到美国。Kim Dotcom 出生于德国，拥有新西兰居住权，他是现已关闭的文件共享网站 Megaupload 的创始人，2012 年新西兰执法部门应美国要求突击搜查了他的豪宅，逮捕了他以及三名 Megaupload 高管，此后 Dotcom 一直致力于对抗被引渡到美国。美国表示，Megaupload 鼓励付费用户上传和分享受版权保护的材料，使电影公司和唱片公司损失逾 5 亿美元，为该网站创造了逾 1.75 亿美元的收入。另外三名被捕的高管中首席营销官 Finn Batato 已在 2022 年去世，首席技术官兼联合创始人 Mathias Ortmann 和 Bram van der Kolk 则在 2023 年达成了认罪协议，分别被判 31 个月和 30 个月，他们不会引渡到美国。

购买杀虫喷雾来对付蟑螂是浪费钱，因为蟑螂已对喷雾中的关键成分产生了抗药性。与人类共生的约 30 种蟑螂中，遍布全球的德国小蠊是最有可能大批出没于建筑物的一种。此前的研究表明，德国小蠊已经对常见的拟除虫菊酯杀虫剂产生了广泛的抗药性。佛罗里达大学的 Johnalyn Gordon 和同事发现，虽然家用杀虫喷雾对实验室培育、此前没接触过杀虫剂的德国小蠊依然有效，但它们对从实际环境中捕捉的蟑螂毫无效果。杀虫喷雾的设计初衷是被喷洒在各处，蟑螂经过这些被喷区域时就会死亡。但在该团队的测试中，实际环境捕捉的蟑螂暴露在被喷洒区域 20 分钟后，死亡率也仅有 20%。当蟑螂被强制留在被杀虫剂喷过的表面上时，大部分产品都需要花 8 到 24 小时才能杀死它们。此外先前的研究表明，蟑螂会努力避免在喷有拟除虫菊酯杀虫剂的区域停留，因此在现实中，它们不太可能长时间待在被喷过的地方。

根据发表在《Nature Aging》上的一项研究，衰老不是渐进发生的，而是到了某个年龄之后会突然加速。研究人员跟踪了 108 名志愿者，他们的年龄在 25-75 岁之间，每隔几个月递交一次血液和粪便样本，以及皮肤、口腔和鼻拭子，持续时间从 1 年到 7 年不等。研究人员评估了 135,000 种分子（RNA、蛋白质和代谢物）和微生物（生活在志愿者肠道和皮肤上的细菌、病毒和真菌）。绝大多数分子和微生物的丰度不是渐进的、按时间顺序发生转变。研究人员发现，重大的转变通常发生在 44 岁和 60 岁左右。44 岁的衰老高峰出乎意料，研究人员最初以为是女性围绝经期（perimenopausal）变化导致的，但发现 40 多岁的男性也产生了类似的变化。第一波变化与心血管疾病相关的分子以及代谢咖啡因、酒精和脂质的能力有关。第二波变化与免疫调节、碳水化合物代谢和肾功能的分子有关。与皮肤和肌肉衰老有关的分子在两个时间点都发生了变化。44 岁的人突然加速衰老可能是因为这是人生中压力最大的时期。

微软未来几个月推出的下一次重大更新 Windows 11 v24H2 将默认启用 BitLocker 设备加密。如果用户全新安装 Windows 11 v24H2，首次用 Microsoft 帐户或工作/学校帐户登录或设置时，BitLocker 设备加密会默认启用，恢复密钥将备份到 Microsoft 帐户或 Entra ID。微软还降低了自动设备加密的硬件需求，并开放给 Windows 11 家庭版用户使用。

哈勃（Edwin Hubble）在近一个世纪前发现宇宙在膨胀，星系彼此之间在快速远离，远离的速度与彼此的距离成正比，远离速度与距离的比值被称为哈勃常数（H0）。但对该常数的测量不同团队之间存在差异，以至于物理学家使用哈勃张力去解释这种差异。约翰霍普金斯大学 Adam Riess 领导的团队测量的 H0 值比理论预测的高约 8%。韦伯太空望远镜（James Webb Space Telescope）更清晰的观察数据被认为有助于解决相关争议。但 Adam Riess 团队根据韦伯数据得到的最新测量值仍然与旧的估计值一致。芝加哥大学 Wendy Freedman 领导的另一支团队对 H0 的测量则更接近理论预测值，意味着哈勃张力可能并不存在。Freedman 团队根据最新的韦伯数据也得到了他们的结果，但这一结果反而进一步加深了哈勃张力的争议：对两类恒星测量得到的 H0 值与理论预测的一致，但对 Riess 团队使用的第三类恒星的测量得到了更高也更接近的 H0 值。这一结果表明哈勃张力可能是存在的。

WHO 总干事谭德塞宣布非洲的猴痘疫情为国际公共卫生紧急事件（PHEIC）。一种新的猴痘病毒株 1b 在刚果民主共和国东部快速扩散，它的几个邻国也都报告了感染病例。WHO 突发事件委员会认为猴痘病毒可能在非洲国家进一步蔓延，可能传播到非洲之外。总干事根据专家委员会的报告宣布了全球卫生紧急事件。今年迄今报告的猴痘病例数已超过去年总和，病例数超过 15,600 例，死亡人数 537 人。

水熊虫以在极端环境下生存的能力著称，是第一种已知可以在太空中生存的动物，但它们是如何演化出这种超能力的？研究人员针对嵌在同一个扁豆大小的白垩纪琥珀中的两块水熊化石进行了重新分析，揭示了这种微小生物的家谱。研究表明，1.8 亿年前，水熊已经进化出了超能力——能够进入不受外界环境影响的假死状态。水熊之所以具有力，部分原因是它们可以长时间停止新陈代谢。这种被称为隐生的超能力可以使其忍受地狱般的环境。研究团队首次估计，水熊的超能力肯定是在 1.8 亿年前进化出来的，也可能早在 4.2 亿年前就已出现。这些能力可能帮助它们在几波生物大灭绝中幸存下来。