来自ERPScan公司的安全专家们发现了这个编号为CVE-2018-2636的漏洞。这个漏洞来自Oracle MICROS系统内的销售点（Point-of-Sale）终端，可能被利用来从硬件内无需验证地读取敏感资料。

ERPScan发布的漏洞分析内这样写道：“CVE2018-2636标记了一个Oracle MICROS系统内的文件夹遍历时暴露出的漏洞。如果公司内部有人得到了某个关键文件夹的路径，他就能从一台终端中偷取许多关键的资料，包括服务日志以及一些包含着用户名和密码的信息，甚至可以使用这些密码去连接数据库，获得更多关于服务器端之类的信息。”

“攻击者们能够获得数据库用户名以及哈希过后的密码，将密码暴力破解然后获得数据库内部商业资料的所有权限。而且还有许多不同的利用这个漏洞的攻击方式，导致整个MICROS系统处在危险之中。”

Oracle的MICROS系统在世界范围内拥有超过330000的现金注册用户，涵盖了许多食物卖场（200000+）以及酒店（30000）。

研究者还解释道，对一个本地攻击者来说要获取到MICROS销售点终端的URL路径是很简单的。

例如，他可以找到一个商场的电子秤或者其他使用RJ45点硬件，将其连接到Raspberry PI（树莓派），然后扫描整个内部网络。另一个选项是可以通过这些暴露在因特网上的设备来定位。截止本稿完成之时，共有139个MICROS销售点系统暴露在因特网上，其中大多数位于美国及加拿大。

这并不是MICROS首次遭到质疑，2016年时就曾经有黑客通过客户售后支持中心入侵MICROS系统。

分析报告最后总结道：“如果你想保护你的系统免受网络攻击的危害，你必须持续地保持更新，安装所有安全补丁。在这个案例中，特指Oracle在2018年1月的更新。”

• pop.InboxMessageCount是一个属性，包含邮箱中存储的邮件总数；
• msg是一个MailMessage对象，表示单个电子邮件。

示例代码：

【20-sim v4.6最新版点击下载】

编辑器

• 修复：当“名称”文本不在矩形内时，无需重新调整图标中的矩形。
• 改进：重新调整矩形应考虑到网格。
• 修复：SVG相关内存泄漏。
• 修复：当通过单键开关替换多键接点后，将单个端口连接到多端口绑定元件时出现异常。
• 修复：带有掩码的库块可能会触发isRelease异常。
• 改进：模型>处理>警告/错误>“端口未使用”重命名为“电源端口未使用”，因为它不适用于信号端口。
• 运动配置文件编辑器：修复帮助按钮不可用的问题。
• 修复：全局参数的工具提示在其他子模型中使用时未显示描述性注释。
• 修复：在此库块的搜索操作后插入时，过滤器编辑器无法打开。

图标编辑器

• 改进：图标更好地对齐到网格中。

界面编辑器

• 特点：为重新排列输入和输出端口增加合计/关闭按钮。
• 修复：树中的所选项目并不总是与所选端口相对应。
• 修复：添加直到列表大于窗口时显示滚动条的端口。
• 修复：当你创建一个新的信号端口并将其更改为输出时树不会刷新，仍然是一个输入。

线性系统编辑器

• 修复：LSE在参数列表的第一个节点中显示汉字。

3D动画编辑器

• 修复：为3D动画添加弹簧时，某些PC崩溃。

3D力学编辑器

• 修复：Manual constraint joints可能会自动分配。

Processing

• 修复：并非所有句法错误都会从全球关联编辑器报告给用户
• 修复：当“Optimize divisions”启用时，某些型号的处理可能会失败
• 修复：当按“保存”时，20-sim会尝试检查当前的子模型。这不应该完成，因为当前的子模型可能还没有完成。

Library

• 修复：切换操作时Signal Mux block移动
• 修复：当切换操作时Signal Demux block移动

模拟器

• EulerAngles DLL：修复EulYXZsFromRotationMatrix意外计算相对性的问题。
• 修复：打开模型时，模拟器中的单位信息将丢失而不进行模拟。
• 修复：禁用模拟期间不可用的某些菜单选项。

脚本

• 修复：防止模拟期间更改子模型。
• 修复：包含“＆”的路径中的模型无法使用脚本打开。
• 改进：在xxsimSaveModel函数中接受斜杠语法。
• Python：修复set_implementations（）不接受Python 3.x下的dict的问题。
• Python：修复各种脚本问题。
• Python：添加get_version（）函数（返回20-sim版本）
• Octave：添加xxsimGetVersion（）函数（返回20-sim版本）
• Octave：增加了Octave 4.2.0的支持（Windows，32位）

C代码生成

• 特点：C / C ++代码生成模板现在可以告诉20-sim这个模板支持哪些集成方法。支持在将来版本的模板中可变步长集成方法。
• 修复：使用两个反斜杠的字符串参数的C代码生成三个反斜杠而不是四个。
• 修复：在生成的子模型之外分配的全局字符串参数生成为空字符串。

文件

• 入门手册：改进各种更正和阐述。
• 参考手册：修复树中的函数名不能以capital开头的问题。
• 参考手册：删除Windows XP和X-file格式（不再支持）
• 文档生成：修复由于命名空间问题，XML文档生成的SVG文件无法在其他工具中打开的问题。

VectorDraw File Converter是一个终端应用程序，使得用户能将常用的图像文件（DWG，DGN和DXF）转换为VectorDraw格式标准（VDF,VDI），反之亦然。该工具能将上述文件导出为SVG与DWF格式。VectorDraw File Converter还能进行多种文件的转换（比如*.dwg 到 *.vdf或者 *.dxf，反之亦然）。

VectorDraw File Converter更新至v7.7011.0.1，新版本针对提出的需求和bug做了调整和优化。

VectorDraw File Converter点击下载试用>>>

VectorDraw Developer Framework（VDF）是一款构建2D、3D图形并用于应用程序可视化的矢量图形引擎库。有了VDF提供的功能，您可以轻松地创建、编辑、管理、输出、输入和打印2D和3D图形文件。该库还支持许多矢量和栅格输入和输出格式，包括本地PDF和SVG导出。

VectorDraw Developer Framework（VDF）更新至v7.7011.0.1，新版本针对提出的需求和bug做了调整和优化。

VectorDraw Developer Framework点击下载>>>

WebJS

新增需求

Converter

新增需求

漏洞

vdDXF

漏洞

Engine

新增需求

漏洞

 【本文作者慧都Elyn】

【Dynamsoft Camera SDK v5.2点击下载>>>】

• 扫描纸质文件
• 从网络摄像头中捕获图像
• 从扫描的文档或网络摄像头中读取条形码

v5.2更新内容

• 更改了摄像头授权对话框的行为，默认情况下不会显示。
• 添加了一个新的方法dynamsoft.dcsEnv.setLanguage，用来设置摄像头授权对话框中使用的语言。
• 添加了一个新的方法getImagePartUrl，根据图像查看器中的索引获取图像的URL。

Visualization and HMI Toolkit的为开发高级图形的动态界面而设计的艺术化的框架：它不仅仅是简单的按键与菜单，它是全动态的能显示动态数据以及能反映用户互动的图片对象。它不仅仅是能制作“漂亮图片”绘制工具（它还具有很多其他功能），而是能使开发人员定义图片对象以及与程序中的对象互动的图形引擎。它的使用对象主要针对应用程序开发人员，能将乏味的低级别图片代码编译工作转化成高级的互动设计行为。

GLG工具包Visualization and HMI Toolkit更新至v3.6，点击下载>>>

支持Java Script：

对Java Script的增加的支持使得用户可以定义自定义函数，将多个输入值转换为驱动动画的输出值。通过可以添加到对象属性的新Java Script转换来使用Java Script。例如，一个新的“LED Value Display”部件可以通过使用Java Script转换来实现部件的逻辑。

转换的Java Script属性包含用于生成输出值的Java Script代码。转换的Arg List属性通过$ N符号提供脚本中使用的可变的参数，其中N是基于1的参数索引（即 $ 1是第一个参数）。参数可以是双（D）、字符串（S）或XYZ（G）类型。Java Script转换的输出值也可以是D、S或G类型，与其所附属性的类型相匹配。

例如，可以使用以下Java Script将D属性的值设置成以度为单位的第一个参数的sin函数：Math.sin （$ 1 / 180. * Math.PI）

下面的Java Script可用于根据第一个参数的值和由第二个、第三个参数定义的阈值来在“NORMAL” 和“ALARM”之间切换的文本字符串：$ 1 <$ 2 || $ 1> $ 3？“ALARM”：“NORMAL”

对于复杂的Java Script来说，可以通过Java Script文件提供Java Script函数和方法库。加载此文件时，可以在图形中使用该文件中定义的Java Script函数。

应用程序可以使用包含Java Script方法集合的全局Java脚本文件并在应用程序的图纸中使用。该文件将被预加载并用作Java Script库。Viewport的JavaScriptFile属性也可定义为该viewport预加载的Java Script文件。所有加载的Java脚本都是全局的，可以在应用程序的任何位置访问。从Java Script文件加载的函数将覆盖任何以前具有相同名称的Java Script函数。

GLGeditors和所有GLG API都支持Java Script：C / C ++、Java、C＃和Windows上的ActiveX。C / C ++和ActiveX中的Java Script支持由Duktape JavaScript Engine提供，对于C＃来说可以使用Jurassic JavaScript引擎（由Jurassic.dll提供）。在Java中可以使用Java的JavaScript引擎。

所有Java Scripts都在绘图设置时先行编译，以实现更快的运行。这些脚本也可以进行缓存。

GlgJavaScriptFile全局配置资源或GLG_JAVA_SCRIPT_FILE环境变量可用于指定全局Java Script文件。 对于GLG Builder和GLG HMI配置器，还可以通过-glg-java-script-file命令行选项或GLG配置文件中的GlgJavaScriptFile资源（即glg_config或glg_hmi_config）提供全局Java Script文件。

【本文作者慧都Elyn，转载注明出处】

GIS Map Server是一款地图服务器控件，它将动态地图功能添加到了GLG工具包中并能与工具包一起使用或独立使用。GLG地图服务器控件将动态地图功能添加到了GLG工具包中并能与工具包一起使用或独立使用。当与工具包一起使用时，一个综合的GIS对象将负责完成变焦、摇摄、协同转换与地图转化，还会将地图服务器整合到GLG绘图功能中。当工具包在处理地图顶端的动态图标的转换时，还能实时地对它们进行更新。

GIS Map Server更新至v3.6版本，增加了航空影像数据集等功能。

最新GIS Map Server点击下载>>>

• 新版本增加了与大型卫星一起使用的航空影像数据集功能。
• 卫星数据集，如World 15m Satellite Images，在没有图像数据的海洋区域使用黑色。当显示此图像时，黑色区域应视为透明。这是通过使用TRANSPARENT COLOR OPAQUE图层类型，并将黑色指定为透明颜色来实现的。透明色彩精确度也用于消除JPEG图像有损压缩的现象。
• 航空数据集，例如右图所示的US 0.5m Aerial Images，使用在UTM投影中创建的tiles。要在不同的投影中显示这个图块，需要对其进行转换（未投影）以使用lat / lon坐标。由于UTM矩形在lat / lon坐标中不是矩形，因此转换的图块将在填充有黑色的边缘处具有未使用的区域。当显示此图像时，这个黑色区域也应该被视为透明的。此外，由于tiles是从UTM投影转换而来的，tiles将出现重叠并且一个tiles中的透明区域的数据将由另一个重叠的tiles提供。
                       US 0.5m Aerial Images示例
   
• 地图服务器已经支持透明颜色属性。添加以下列出的新层属性，能更好地渲染卫星和航空图像数据集。
• 背景颜色属性可以定义用于渲染此图层中的透明像素颜色的RGB值。
• 背景图层属性可以定义用于渲染此图层中的透明像素而不是背景颜色的另一个图层的名称。
• TILES OVERLAP属性，此图层包含具有透明像素的重叠图块。当地图服务器在地图上呈现像素时，它会搜索包含该像素数据的图块。如果它找到一个tile并且像素是透明的，它将继续搜索，直到找到为像素提供（非透明）数据的源图块。如果未找到源图块，则将使用背景颜色（如果已定义）或使用背景图层中的像素数据来渲染该像素。如果没有定义背景颜色和背景层，则不会渲染像素，也不会渲染地图的底层或背景颜色。