Google 意外公开了未修复 Chromium 漏洞的利用代码
https://www.solidot.org/story?sid=84359
https://arstechnica.com/security/2026/05/google-publishes-exploit-code-threatening-millions-of-chromium-users/ (英文)
Google 周三公开了一个未修复 Chromium 漏洞的利用代码。该漏洞影响所有使用基于 Chromium 浏览器的用户。独立安全研究员 Lyra Rebane 在 2022 年底向 Google 报告了漏洞,但 29 个月后它仍然没有修复。本周三上午 Google 向 Chromium 的 bug 跟踪系统披露了漏洞,Rebane 一开始以为漏洞已经修复了,结果发现根本没有。Google 虽然之后删除了帖子,但其内容已被其它网站存档。该漏洞滥用了 Chromium 的 Browser Fetch API 打开一个持续活动的 Service Worker,恶意网站可通过 JavaScript 触发该 Service Worker 创建连接,监视用户的部分活动,它还可作为代理访问网站和发起 DDoS 攻击。安全研究人员认为这是一个严重的漏洞,它实际上相当于一个受限的后门,将浏览器变成僵尸网络的一部分。 (全文完)
https://www.solidot.org/story?sid=84359
https://arstechnica.com/security/2026/05/google-publishes-exploit-code-threatening-millions-of-chromium-users/ (英文)
Google 周三公开了一个未修复 Chromium 漏洞的利用代码。该漏洞影响所有使用基于 Chromium 浏览器的用户。独立安全研究员 Lyra Rebane 在 2022 年底向 Google 报告了漏洞,但 29 个月后它仍然没有修复。本周三上午 Google 向 Chromium 的 bug 跟踪系统披露了漏洞,Rebane 一开始以为漏洞已经修复了,结果发现根本没有。Google 虽然之后删除了帖子,但其内容已被其它网站存档。该漏洞滥用了 Chromium 的 Browser Fetch API 打开一个持续活动的 Service Worker,恶意网站可通过 JavaScript 触发该 Service Worker 创建连接,监视用户的部分活动,它还可作为代理访问网站和发起 DDoS 攻击。安全研究人员认为这是一个严重的漏洞,它实际上相当于一个受限的后门,将浏览器变成僵尸网络的一部分。 (全文完)
距离高考还有16天!!!💪💪💪请同学们自觉放下📱,认真复习✍️✍️✍️!!!各位家长也要起到监督作用,人生就这一次机会🙏🙏🙏🙏
现将下阶段具体安排告知大家:
1、今天开始,6:00之前到校,不要迟到!
2、今天开始中午学生留校午练自习和休息。
3、今天开始晚自习11:00放学。
4、值班家长请按家委会提供的值班表按时到位。请大家动员孩子克服困难,抓紧一切时间复习,也希望家长们全方位支持学校安排,多陪伴、多鼓励,要同频共振。家校共同努力,帮助孩子实现大学梦想!
5、每位家长交50元书本费到我这里来。
现将下阶段具体安排告知大家:
1、今天开始,6:00之前到校,不要迟到!
2、今天开始中午学生留校午练自习和休息。
3、今天开始晚自习11:00放学。
4、值班家长请按家委会提供的值班表按时到位。请大家动员孩子克服困难,抓紧一切时间复习,也希望家长们全方位支持学校安排,多陪伴、多鼓励,要同频共振。家校共同努力,帮助孩子实现大学梦想!
5、每位家长交50元书本费到我这里来。
数码荔枝还是转发一下。
https://x.com/DIGITALYCHEE/status/2057302477612224679
一个我熟知的独立开发者,因长期熬夜工作,前几日猝死。
震惊与悲痛之余,这件事情再次给我们所有人警告:
1. 身体,是一次性的
前一秒看似正常运行,下一秒可能直接宕机
2. 钱,是赚不完的
时间很晚了,手上还有工作,只要世界不爆炸,那就明天做
3. 熬夜,但保证充足睡眠
你不能指望每天 3 点睡,第二天 8 点起床,却没有任何代价一样
https://x.com/DIGITALYCHEE/status/2057302477612224679
Introducing nginx-poolslip, a fresh RCE for the the latest nginx release 1.31.0.
https://x.com/i/status/2057071579876753643
https://x.com/i/status/2057071579876753643
今日,我们针对 Linux 内核及 PostgreSQL 中发现的数个高危安全漏洞推送了更新,详情如下。
Linux 内核:本地提权漏洞 (PinTheft)
2026 年 5 月 20 日,V12 安全团队披露了 Linux 内核
rds 模块中的一个本地提权漏洞(代号 PinTheft),可通过恶意程序实现本地提权。目前我们已通过系统更新修补这一漏洞,请参考如下软件版本:
➤ 主线发行支持的设备:
linux+kernel >= 3:6.18.32➤ Apple silicon 设备:
linux+kernel+asahi >= 3:6.18.32➤ 树莓派(64 位):
linux+kernel+rpi >= 6.18.32请择机更新您的安同 OS(服务器、多用户或公用设备用户请加急此更新)。
PostgreSQL:数个高危漏洞
此次 PostgreSQL 安全更新针对 14.23/15.18/16.14/17.10/18.4 共 5 个版本,共修复 11 个安全漏洞,其中包含如下 7 个高危漏洞:
➤ 3 个 SQL 注入漏洞(CVE-2026-6476、CVE-2026-6637 及 CVE-2026-6638)
➤ 1 个内存覆写漏洞 (CVE-2026-6477)
➤ 1 个本地文件覆写漏洞 (CVE-2026-6475)
➤ 1 个整数溢出导致的越界写入漏洞 (CVE-2026-6473)
➤ 1 个无限递归导致的拒绝服务攻击漏洞 (CVE-2026-6479)
请注意:上游已于 2025 年 11 月正式停止 PostgreSQL 13 的支持,因此本次更新未推送针对 PostgreSQL 13 的修复,且已将此包移除。此外,为了减小维护压力,我们决定在近期移除 PostgreSQL 14-16。如果您依旧在使用这些版本,请尽快迁移到 PostgreSQL 18。有关迁移步骤的指南请见 PostgreSQL 官方文档。
—
如果您在安装上述安全更新的过程中遇到问题,或对本安全公告有任何疑问或建议,欢迎您来社区各聊天群组与我们联系反馈。
谢谢你的喜欢,非常敬佩你的勇气,也很高兴能得到你的认可。抱歉没办法用恋爱的心态去回应你,我一直把你当成很好的同学来看待。希望你不要因为这件事感到有负担,大学里有更广阔的天地和更好的人,祝你能遇到真正适合你的人并且像今天一样勇敢表达
