安卓曝严重安全缺陷 黑客可借恶意图片入侵手机；谷歌开源ClusterFuzz；微软宣布以白金会员身份加入OpenChain项目

0、Android 曝严重安全缺陷 黑客可借恶意图片入侵手机‍

根据谷歌发布的最新 Android 安全公告，通过发送一张恶意图片，黑客可以入侵任何 Android 手机或平板电脑。

虽然没有用户报告因该缺陷而受到攻击，但存在于 Android 7.0 至 9.0 中的这一缺陷，将赋予黑客在任何 Android 设备上运行恶意代码的“优先权限”——前提是用户在设备上打开一张恶意 PNG 图片。

‍

这一缺陷的最恐怖之处是，用户无法知道自己成为攻击对象。虽然该缺陷已经被修正。但 GitLab 安全主管凯西·王（Kathy Wang）表示，如果恶意黑客首先发现该缺陷的存在，会对 Android 用户造成严重后果。

虽然谷歌已经发布了补丁软件，使用第三方生产的 Android 设备的用户依旧需要谨慎，确保自己下载了最新的软件更新包，因为谷歌合作伙伴在发布 Android 安全更新包方面通常需要更长的时间。‍

1、微软宣布以白金会员身份加入 OpenChain 项目‍

近年来，微软积极拥抱开源社区，并且成为了其中重要的一员（比如 Linux 基金会）。近日，这家软件巨头又宣布，他们已经以白金会员的身份、加入了 OpenChain 项目，OpenChain 致力于让组织的开源许可合规性，变得更加简单和一致。‍

2、Redis 客户端 Redisson 3.10.2 和 2.15.2 发布‍

Redisson 3.10.2 和 2.15.2 已发布，Redisson 是架设在 Redis 基础上的一个 Java 驻内存数据网格 (In-Memory Data Grid) 。更新内容如下：

Feature - StreamMessageId.NEVER_DELIVERED added

Feature - decodeInExecutor setting added

Feature - lockAsync and tryLockAsync methods with threadId param added to RedissonMultiLock object

......（详情：https://github.com/redisson/redisson/releases/tag/redisson-2.15.2）

3、轻量级时间和日期 JavaScript 库 Day.js 1.8.5 发布‍

Day.js 1.8.5 发布了，更新内容如下：

Bug 修复

添加en-GB区域设置(#478) (508c3a7)

module: 在“modules”入口处编译除 ES6 模块外的所有模块。 (#477) (#480) (#482) (767017d)

更新 customParseFormat 插件支持 hh:mm 。 (54947cc), closes #484

......（详情：https://github.com/iamkun/dayjs/releases/tag/v1.8.5）

4、Java 网络请求框架 OkHttp 3.13.1 发布‍

OkHttp 是一个适用于 Android 和 Java 应用的 HTTP 和 HTTP/2 客户端。OkHttp 3.13.1 更新内容如下：

修复：在Android上使用自定义 X509TrustManager 或 SSLSocket 时不再崩溃。

......（详情：https://github.com/square/okhttp/blob/master/CHANGELOG.md#version-3131）

5、Google 开源 ClusterFuzz‍

Google 开源了它的模糊测试系统 ClusterFuzz，源代码发布在 Github 上。Google 称，ClusterFuzz 整合到了它的工作流中，至今在 Chrome 项目中发现了超过 1.6 万个 bug，通过整合到 OSS-Fuzz 作为免费服务提供给开源项目使用，在 160 多个开源项目中发现了 1.1 万多个 bug。ClusterFuzz 能在 bug 引入的数小时内将其检测出来，能在一天内验证补丁。（GitHub地址：https://github.com/google/clusterfuzz）‍

参考：凤凰网、solidot、开源中国、

cnBeta、新浪科技等

小贴士