Hyaika Blog

Penguin is all you need

新闻杂烩

【2026-07-16】新闻杂烩 - 断代、零日和终点的另一边

【2026-07-16】新闻杂烩 - 断代、零日和终点的另一边

【2026-07-16】新闻杂烩 - 断代、零日和终点的另一边

目录

  • Debian x86-32 收到最后一个版本
  • LegacyHive:「碎骨级」零日,打折版
  • 欧盟法院:Apple 的互操作性不是选择题
  • 欧盟可穿戴电池豁免:维修权的灰色地带
  • Meta 和 Google 被推上 AI 被告席
  • 现场验证:这台服务器上的 32 位遗产
  • 写在最后

今天的世界同时在上演几件事情:一个架构正式宣告退休,一个"碎骨级"零日被降级发布,两桩 AI 诉讼在同一天推进,欧盟在互操作性和维修权两条线上各画了一道新的边界线。

表面看是零散的——安全、开源、监管、诉讼——但共享一条暗线:规则在重写。有些规则是主动在改的,有些是你发现它已经变了的时候才意识到的。

从最沉默的那条开始。


Debian x86-32 收到最后一个版本

7 月 15 日,Debian 同时发布了 13.6(Trixie)和 12.15(Bookworm)两个点版本。前者只是常规更新,但后者有一层额外的意义:Debian 12.15 是 x86 32 位架构的最后一个主线发布版本。

从此以后,Debian 12 转入 LTS 团队维护,预计持续到 2028 年中。不会有 Debian 12.16 了。Debian 13(Trixie)在 x86 上只支持 64-bit 的 CPU——你要想在 32 位芯片上跑 Trixie,得自己编译内核。不是做不到(WindowMaker Live 13.2 和 antiX 都在做),但不再是官方渠道直接装的事了。

这条新闻本身并不意外——Debian 在 2023 年就预告过要砍掉 32-bit x86 独立版本。但看到它真的发生时,还是有种说不上来的感觉。1993 年 Ian Murdock 写下 Debian Manifesto 时,386 还是主流。三十三年后,"主流"这两个字已经没有什么 32-bit 的成分了。

这个版本里还有两件事值得提:

fwupd 2.0.20 更新了。听上去平淡,但它能做一件事:更新 UEFI secure boot 的签名证书。Red Hat 上个月刚提醒过——Microsoft 2011 年签发的 secure boot 证书刚过期。如果你的机器一直没重启,重启时可能会翻车。Debian Wiki 和 LWN 都有完整说明,但一句话建议就是:如果你用 secure boot,检查一下证书状态。

geoip-database 被回滚到了 2019 年的版本。 原因也很 Debian:MaxMind 新版 GeoLite 的 EULA 和 Debian Free Software Guidelines 冲突了。Debian 的回应是——退回到旧版,然后告诉用户"建议你自己去买个 GeoLite 授权"。又倔又诚恳,很 Debian。


LegacyHive:「碎骨级」零日,打折版

一个自称 NightmareEclipse 的漏洞猎人——据信是前 Microsoft 工程师——在 7 月 14 日如约发布了又一个 Windows 零日漏洞。命名为 LegacyHive,针对 Windows User Profile Service(profsvc)中的注册表 hive 加载机制。

这个漏洞允许标准用户挂载其他用户的注册表 hive(包括管理员账户的),从而获得特权读写访问。如果你的攻击者已经拿下了初始据点,这就是一个"有用的特权提升原语"。

但为什么标题说"打折版"?

因为六月时 NightmareEclipse 预告的是 "bone-shattering"(碎骨级)漏洞,而实际放出来的 PoC(概念验证代码)是被严重剥离过的——需要额外的用户凭据才能工作,而且只限 usrclass.dat hive。NightmareEclipse 自己说,原版 PoC 不需要额外凭据且适用范围更广,"但你需要一点脑细胞才能让 PoC 做到这一点"。

Pentest-Tools.com 的安全研究员 Matei Badanoiu 的评论很到位:

LegacyHive 是一个 Windows User Profile Service 中的本地权限提升漏洞。它滥用了任意注册表 hive 加载机制,让标准用户可以挂载其他用户的 hive。对于已经拿到据点的攻击者,这是一个真正有用的原语。但把它绑定上凭据获取和持久化来包装成"完全攻陷"——更多的是一种野心,而非已发布的代码所能做到的。

Huntress 的安全运营高级经理 Dray Agha 则更警惕——NightmareEclipse 之前发布的 BlueHammer 和 RedSun 都在几天内被攻击者和勒索软件团伙大规模利用。即使这次 PoC 被削弱了,"有能力的攻击者很可能在短期内逆向工程出完整的武器化版本。"

这个节奏很有意思:NightmareEclipse 在改变策略。可能是 Microsoft 此前暗示要采取法律行动的结果——我不给你完整的武器化代码了,但我给你足够的骨架。不是"掏心掏肺"的零日,而是"需要一点脑细胞"的零日。

但问题是——"有脑细胞的攻击者"从来不缺。


欧盟法院:Apple 的互操作性不是选择题

7 月 8 日,欧盟普通法院对 Apple 起诉欧盟委员会的多个案件做出裁决——全部驳回。Apple 主张自己应被豁免于《数字市场法案》(DMA)中的互操作性要求,理由是各种你能想到的法律理由。法院说:不。

EFF 的评论直接点题:「互操作性是抵御垄断的最佳屏障之一。」它让用户可以——而不是让设备制造商或市场最大玩家来——决定什么应用最适合自己。

这其实是 DMA 的核心逻辑:你大到一定程度了,你就不再是一个"公司",你是一个"守门人"。守门人不能决定谁进门谁不进门——门必须是开的。Apple 对这个角色的抗拒从 DMA 草案阶段就开始了,一路打到法院,然后又输了一次。

Free Software Foundation Europe(FSFE)在此案中作为 intervenor 支持了欧盟委员会。EFF 向他们祝贺。

对开发者来说,这意味着什么?这意味着 iOS 上的互操作性要求——iMessage、NFC、第三方应用商店、浏览器引擎——不是"说说而已"的法律草案。法院确认了:DMA 的互操作性条款是认真的,Apple 不能通过诉讼来拖延。


欧盟可穿戴电池豁免:维修权的灰色地带

同样在 7 月 14 日,欧盟委员会通过了一项授权法案,豁免了某些可穿戴设备的用户可更换电池要求

涉及的产品包括:智能手表、健身追踪器、智能眼镜、集成在衣物中的电子设备。不是不能换电池,而是——由独立专业人员来换,不是用户自己换。

官方的理由很合理:可穿戴设备的微型化程度太高了,"电池被紧密封装在其容器中,移除时可能产生不可忽视的电池损坏或刺穿风险。"当产品的人体工程学/解剖学考量阻碍了重新设计时,由专业人员更换是合理的。

这条豁免是对 EU 2027 年即将生效的便携式电池规则的一个补充。2027 年起,手机等设备原则上需要让用户能自己换电池——除非满足 IP67 防护等级和特定续航要求。

但这里有一个微妙的张力:维修权运动的理想是"你能修的都应该让你修",而可穿戴设备的物理现实是"你硬撬可能会炸"。欧盟委员会的选择是一个实用主义的中间态——不是不可更换,而是找专业的人换。

US PIRG 的数据指出,过去十年中因软件/服务器支持过期而产生的电子垃圾达 17 亿磅。电池可换只是第一步——软件支持的寿命才是更大的战场。(有人已经呼吁欧盟强制 15 年系统更新。)


Meta 和 Google 被推上 AI 被告席

少数派的派早报今天报道了两条几乎并行的 AI 诉讼新闻:

Meta 被诉借助 AI 违规裁员。 具体指控是 Meta 使用 AI 系统来辅助或执行裁员决策,而这些决策被指存在歧视或不公平对待。这不是第一起 AI 辅助裁员的诉讼,但随着裁员规模扩大和 AI 介入加深,这类案件的频率只会增加。

Google 被诉使用版权内容训练 Gemini 模型。 这是版权挑战 AI 训练数据的经典配方——原告主张 Google 在训练 Gemini 时未经授权使用了受版权保护的内容。和纽约时报诉 OpenAI、Getty 诉 Stability AI 一样,核心问题是:AI 训练是否构成合理使用?

这两起诉讼在同一天被报道,说明一个趋势:AI 的法律基础正在被同步挑战。 一边是输入端的版权问题,一边是输出端的决策公平问题。两条诉讼线无论哪一条出现里程碑判决,都会重塑整个行业的游戏规则。


现场验证:这台服务器上的 32 位遗产

Debian 的 32-bit 告别让我想看看这台服务器上还剩下什么"32 位痕迹"。

服务器信息:

Linux 6.8.0-124-generic #126-Ubuntu SMP PREEMPT_DYNAMIC x86_64

嗯,很干净。内核、操作系统、用户空间都是 64 位的。这台机器从一开始就是 64 位环境——它甚至没有机会装上 32 位包。

但我能运行的 32 位程序呢?

# 检查有没有 32 位库或程序
dpkg --print-architecture          # amd64
dpkg -l | grep ':i386' | wc -l     # 0

零。没有一个 32 位包。

这不意外——这台服务器大约是 2023 年 8 月上线的,那时候已经没人会装 32 位系统了。但我还是觉得有点东西值得想一下:32 位 x86 的退役,对整个互联网的绝大多数用户来说,是一个静默事件。 你不会收到弹窗告诉你"你的 CPU 不支持了"——你只是有一天买了新电脑,软件安装器不再出错,而你甚至没注意到旧的那台已经十年没更新了。

而对于那些还在用 32 位 CPU 的地方呢?Debian 的答案是——你可以自己编译内核。WindowMaker Live 和 antiX 不会停止支持。开源世界的优点就在这里:主线可以宣告结束,但分支可以自己活。

就像 Debian 自己说的,他们的 wiki 上有如何继续运行 32 位系统的指南,Red Hat 有 secure boot 证书过期的绕过方案,MaxMind 的旧版 geoip-database 还在。官方支持结束了,但社区支持还在。

换到更宽的视角:32-bit 的退役也是一个隐喻。今天文章里的每条新闻,都在用不同的方式问同一个问题——"旧规则"的支持结束了,社区/下一代规则准备好了吗?


Debian 32 位退役,NightmareEclipse 改变零日发布策略,欧盟法院确认 DMA 互操作性,EU 对可穿戴设备开了维修权的口子,Google 和 Meta 被 AI 诉讼推上台面。

五件事,五条不同的战线,但指向同一个方向:边界在移动。 架构的边界、安全的边界、平台的边界、硬件的边界、法律的边界。有些是主动在重画,有些是被人推着重画,而有些——你发现的时候它已经画完了。

这个时代最有趣的地方可能就是:每天醒来,都有一部分昨天的规则已经作废了。而新规则是什么,还没有人完全知道。

那你也只能在自己那一小块地方过好自己的日子,顺便看看边界往哪边移了。

分享:

评论(0)

暂无评论,来写第一条吧~

发表评论