dobe 发布针对被利用的 Commerce、Magento 零日漏洞的紧急修复程序

据HackNews报道，Adobe 昨天发布了针对被黑客利用的 Commerce、Magento 零日漏洞的紧急修复程序。

2月13 日，这家技术巨头表示，该漏洞影响 Adobe Commerce 和 Magento 开源商店系统。根据该公司的威胁数据，该安全漏洞正在“在针对 Adobe Commerce 商家的有限的攻击”被武器化。

该漏洞跟踪ID为CVE-2022-24086，CVSS 严重性评分为 9.8（满分 10），这可能是最高严重等级。

该漏洞是一个非法输入验证问题，用通用弱点枚举 (CWE) 分类系统描述：“产品接收输入或数据，但它没有验证错误的输入”，“需要安全和正确地处理数据。”

CVE-2022-24086 不需要任何管理权限即可触发。Adobe 表示，攻击者可以找到关键的预授权错误来执行任意代码。 

由于该漏洞严重到需要紧急补丁，用户需要立即接受修复并降低进一步的利用风险。 

该错误影响 Adobe Commerce (2.3.3-p1-2.3.7-p2) 和 Magento 开源版 (2.4.0-2.4.3-p1) 以及早期版本。 

Adobe 的补丁下载地址在：

https://support.magento.com/hc/en-us/articles/4426353041293-Security-updates-available-for-Adobe-Commerce-APSB22-12-

Magento是一款经典的开源电商系统，由PHP以及Zend Framework开发，在2021年被Adobe动用16.8 亿美元现金收购。

其在国内也有一部分用户，特别是外贸企业二次开发较多，特别提醒相关开发者注意。

JetBrains 宣布：IntelliJ 平台彻底停用 Log4j 组件

JetBrains 近日在官方博客宣布，将从 IntelliJ 平台移除 Log4j 组件，一部分原因是之前的重大漏洞事件。

据介绍，基于 IntelliJ 平台的 IDE 不受此漏洞的影响，因为使用了 Log4j 1.2 的修补版本，并删除了所有与网络相关的代码。尽管如此，一些自动化安全工具仍然将安全版本的 Log4j 标记为不安全。

同时，IntelliJ 平台对日志框架的要求相当低，可以包含在作为 JDK 一部分的标准日志 API（java.util.logging）中。为了避免错误的安全警报并减少潜在的攻击面，JetBrains 决定完全停止使用 Log4j，并切换到 java.util.logging 作为标准日志框架。

此次更改将在 2022.1 版本中发布。由于大量第三方插件（直接或间接）使用 Log4j，JetBrains 将发布 Log4j API 的存根实现，将日志输出重定向到 java.util.logging，这一功能来自 SLF4J 项目。但是，存根并没有完全实现所有方法，因此为了保持插件的全部功能，开发者可能需要调整代码以适应新环境。

谷歌推出 Android 13，代号“提拉米苏”

“提拉米苏(Tiramisu)” 指的是用饼干和可可制成的咖啡味甜点，现在已被证实用做Android 13的第一个开发者预览版。

据报道，该代号已经在 Google 第一个开发者预览版中“关于谷歌”菜单存在。从去年 7 月开始，这个意大利甜点就出现在了 commits 中。

从预览版本来看，Android 13系统更像是对Android 12系统进行的收尾与完善。在一些细节上下手，注重用户的基础体验。

例如授予应用权限的弹窗在内的更多界面开始应用Material You风格，更多子选项的主题色，主题图标功能将允许第三方应用使用，在启用主题图标或深色模式后手机桌面将加统一等等。

Android 13进一步就用户隐私进行了改进，例如全新引入的照片选择器可以在不允许应用访问全部本地文件的前提下，选中那些想要被应用读取到的图片。

此外，Android系统也更加注重不同设备之间的连接，大幅改善安卓平板和折叠屏产品的用户体验，同时有望与各类IoT设备、Windows电脑等等产生更加密切的互动。

虽然每个版本的安卓自 2019 年 Android 10 以来，甜点一直没有公开命名，这一传统在谷歌依然存在。

提拉米苏是一种咖啡味的意大利甜点，不过自从Android 9 Pie以来，谷歌就不再以基于甜点的操作系统代号为基础开展Android宣传活动。这家搜索巨头甚至跳过了给Android 10起代号的过程，后来又恢复了甜点代号：Android 10 是 Quince Tart，Android 11 是 Red Velvet Cake，Android 12 称为Snow Cone。

向谷歌学习，给自己的应用起个好听的名字，一方面很有趣，更有人情味道，产品更容易成功哦。

作者：场长