微信跳一跳可以用 Python 刷分；macOS 再曝重大安全漏洞，或许已存在 15 年

转自：开源中国、solidot、cnBeta、腾讯科技等

如果你每次都能挑到各自的正中间的话，可以 + 2 分，如果连着跳到中间会 + 4、+6、+8、+10……

跳到污水井盖上面，停留 2 秒，等到下水道声音响起直接 + 5 分

跳到魔方上面，停留 2 秒，等到魔方转正会直接 + 10 分

跳到音乐盒上面，停留 2 秒，等到音乐响起会直接 + 30 分

跳到便利店，停留 2 秒，等到便利店开门会直接 + 15 分

但今天要说的不是通过攻略拿高分，而是从技术层面去实现高分：在 Github 上面已经有人用 Python 来玩跳一跳这个游戏了，想多少分就有多少分。GitHub地址：https://github.com/wangshub/wechat_jump_game

除了可以用 Python 实现高分，还有网友爆料还可以直接伪造 POST 请求刷分,直接改分数。

昨日，V2EX 网站上一篇题为《微信跳一跳 可以直接更改分数， POST 请求没有校验… 》的文章获得大量曝光，帖中指出微信小程序存在漏洞，跳一跳小游戏可以直接改分数。

用户朱鹏飞根据帖子的指引，发现甚至连微信小程序、小游戏的源代码都可以直接下载，只需要知道 appid 和 版本号，就可以直接构造 URL 下载后缀为 wxapkg 的源码包，不需要任何验证。

1、Google 高性能 RPC 框架 gRPC 1.8.3 发布

gRPC 1.8.3 已发布，gRPC 是一个高性能、开源、通用的 RPC 框架，更新内容：

● Eliminate superfluous log error messages (#13882)

● Fix Bazel build issues (#13863)

● ......（详情：https://github.com/grpc/grpc/archive/v1.8.3.zip）

2、JavaScript MVC 框架 Ember.js v2.18.0 发布

Ember.js v2.18.0 发布，Ember.js 是一个用于创建 web 应用的 JavaScript MVC 框架，采用基于字符串的 Handlebars 模板，支持双向绑定、观察者模式、计算属性（依赖其他属性动态变化）、自动更新模板、路由控制、状态机等。更新内容：

● Begin publishing npm tarballs to S3

● `null` should disable `concatenatedProperties` and `mergedProperties`

● removed `return this` in `lib/observer`

● Add internal "TBD" deprecations feature（详情：https://github.com/emberjs/ember.js/archive/v2.18.0.zip）

3、Arch Linux 2018.01.01 发布，支持 Linux 4.14 LTS 内核

Arch Linux 2018.01.01 ISO，它是第一个使用最新的 Linux 4.14 LTS 内核。尽管 12 月份的 Arch Linux ISO 快照仍然是 Linux 4.13 系列的内核提供支持，但是2018年1月的发行版对所有新安装都使用了 Linux 内核 4.14.9，而最近发布的 Linux 内核 4.14.10 仍在测试中。

4、Facebook 开源语音识别工具包 wav2letter

Facebook AI 研究院近日开源了一款简单高效的端到端自动语音识别（ASR）系统 wav2letter，wav2letter 实现的是论文 Wav2Letter: an End-to-End ConvNet-based Speech Recognition System 和及 Letter-Based Speech Recognition with Gated ConvNets 中提出的架构。如果你使用 wav2letter 或相关的预训练模型，需引用其中的一篇论文。 另外，如果想要立刻进行语音转录的，Facebook 还提供了 Librispeech 数据集上预训练模型。（详情：https://github.com/facebookresearch/wav2letter）

5、腾讯开源高性能通用频率控制组件 libwxfreq

libwxfreq 是腾讯 2018 年开源的首个项目，这是一个采用多级 hash 作为底层存储模型的高性能通用频率控制组件。通过简洁的几个接口，既可以单机使用，也可以配合其他网络框架，轻松搭建一个通用的频率控制服务。组件特性：

● 高度可配置：统计维度可配置、统计时长可配置、频率规则可配置

● 支持任意 key 类型

● 底层存储模型无锁化设计

● ......（详情：https://github.com/Tencent/libwxfreq）

6、macOS 再曝重大安全漏洞，或许已存在 15 年

据 SecurityWeek 报道，在 2018 年的第一天，专门研究苹果操作系统的研究人员 Siguza 公布了 macOS 中一个未修复漏洞的细节。该漏洞基于 IOHIDFamily 0day，他将其称为 IOHIDeous ，可以被利用来完全控制你的系统，有权访问系统的攻击者可以利用此漏洞来执行任意代码并获得 root 权限。

Siguza 指出，他发现的 Bug 会影响所有版本的 macOS ，并可能导致内核中的任意读/写漏洞。他还表示该漏洞至少2002年就存在了。

7、Kernel prepatch 4.15-rc6 发布

Kernel prepatch 4.15-rc6 发布了。Linux 是一个宏内核（monolithic kernel）系统。设备驱动程序可以完全访问硬件。Linus 说，“4.15-RC6 内核的 prepatch 已经发布了测试。如果不是最终的 x86 PTI，也会在 diffstat 中显示出来。大约有一半的 rc6 是在 x86 工作。 “（详情：https://lwn.net/Articles/742449/）

觉得这些资讯有帮助？请转发给更多人

关注技术最前线，看 IT 要闻