Уязвимость в 7-Zip, позволяющая получить привилегии SYSTEM в Windows
В свободном архиваторе 7-Zip выявлена уязвимость (CVE-2022-29072), позволяющая выполнить произвольные команды с привилегиями SYSTEM через перемещение специально оформленного файла с расширением .7z в область c подсказкой, показываемой при открытии меню "Help>Contents". Проблема проявляется только на платформе Windows.
Примечательно, что разработчики 7-Zip не признали уязвимость и заявили, что источником уязвимости является процесс Microsoft HTML Helper, запускающий код при перемещении файла. Исследователь, выявивший уязвимость, считает, что hh.exe лишь косвенно участвует в эксплуатации уязвимости, а указанная в эксплоите команда запускается в 7zFM.exe как дочерний процесс. Причинами возможности проведения атаки через подстановку команд (command injection) называются переполнение буфера в процессе 7zFM.exe и неверная настройка прав для библиотеки 7z.dll.
Так как исправления пока не опубликованы в качестве обходного пути защиты предлагается ограничить программе 7-zip доступ только возможностью чтения и запуска.
В свободном архиваторе 7-Zip выявлена уязвимость (CVE-2022-29072), позволяющая выполнить произвольные команды с привилегиями SYSTEM через перемещение специально оформленного файла с расширением .7z в область c подсказкой, показываемой при открытии меню "Help>Contents". Проблема проявляется только на платформе Windows.
Примечательно, что разработчики 7-Zip не признали уязвимость и заявили, что источником уязвимости является процесс Microsoft HTML Helper, запускающий код при перемещении файла. Исследователь, выявивший уязвимость, считает, что hh.exe лишь косвенно участвует в эксплуатации уязвимости, а указанная в эксплоите команда запускается в 7zFM.exe как дочерний процесс. Причинами возможности проведения атаки через подстановку команд (command injection) называются переполнение буфера в процессе 7zFM.exe и неверная настройка прав для библиотеки 7z.dll.
Так как исправления пока не опубликованы в качестве обходного пути защиты предлагается ограничить программе 7-zip доступ только возможностью чтения и запуска.
Хакеры взломали DeFi-платформу Beanstalk и похитили 80 млн. долларов
Beanstalk, протокол ориентированной на кредитование стабильной монеты, построенный на Ethereum, был взломан в воскресенье. Из протокола Beanstalk злоумышленники украли более 80 миллионов долларов в криптовалютах.
Cпециалисты пoяcнили, чтo xaкepы cмoгли иcпoльзoвaть aтaку флэш-кpeдитa, чтoбы пpиoбpecти бoльшoe кoличecтвo тoкeнoв BEAN.
Согласно оценкам специалистам, данный взлом станет вторым крупнейшим в этом году после атаки на сеть Ronin.
Beanstalk, протокол ориентированной на кредитование стабильной монеты, построенный на Ethereum, был взломан в воскресенье. Из протокола Beanstalk злоумышленники украли более 80 миллионов долларов в криптовалютах.
Cпециалисты пoяcнили, чтo xaкepы cмoгли иcпoльзoвaть aтaку флэш-кpeдитa, чтoбы пpиoбpecти бoльшoe кoличecтвo тoкeнoв BEAN.
Согласно оценкам специалистам, данный взлом станет вторым крупнейшим в этом году после атаки на сеть Ronin.
21 апреля в Москве пройдет большая практическая конференция ГК «Астра» для представителей госсектора и бизнеса, посвященная цифровизации и импортозамещению в сфере ИТ.
Ключевые темы «АСТРАКОНФ-2022»:
🔹 на пути к глобальной ИТ-трансформации;
🔹 практика импортозамещения;
🔹 ИТ-решения для цифровизации;
🔹 как это работает: демонстрация решений;
🔹 система воспроизводства ИТ-кадров.
Участниками и спикерами выступят руководители профильных министерств и ведомств и их заместители, представители ИБ и ИТ-департаментов госучреждений и бизнеса, ключевые сотрудники ведущих разработчиков софта и «железа».
Продемонстрируем практические кейсы по миграции с зарубежных продуктов на отечественные, а также представим проекты, реализованные на базе ОС Astra Linux.
Регистрация на мероприятие обязательно - https://astraconf22.astralinux.ru/
Ключевые темы «АСТРАКОНФ-2022»:
🔹 на пути к глобальной ИТ-трансформации;
🔹 практика импортозамещения;
🔹 ИТ-решения для цифровизации;
🔹 как это работает: демонстрация решений;
🔹 система воспроизводства ИТ-кадров.
Участниками и спикерами выступят руководители профильных министерств и ведомств и их заместители, представители ИБ и ИТ-департаментов госучреждений и бизнеса, ключевые сотрудники ведущих разработчиков софта и «железа».
Продемонстрируем практические кейсы по миграции с зарубежных продуктов на отечественные, а также представим проекты, реализованные на базе ОС Astra Linux.
Регистрация на мероприятие обязательно - https://astraconf22.astralinux.ru/
👍1
Adobe, Microsoft и Intel разработают стандарт подтверждения подлинности видео и фото
В современном мире нейросети позволяют создавать правдоподобные видео, которые могут быть использованы для распространения ложной информации. Коалиция компаний собирается разработать технический стандарт, который будет гарантировать отсутствие вмешательства в фото- и видеоматериалы при помощи блокчейн-технологии.
К консорциуму компаний IT-отрасли примкнули Adobe, Microsoft, Intel, Twitter, Sony, Nikon, BBC и Arm. Он уже получил обозначение Coalition for Content Provenance and Authenticity (C2PA). Adobe ожидает, что элементы механизмов проверки подлинности появятся уже в этом году. Через пару лет будет сформирована готовая экосистема, которая позволит контролировать подлинность фото- и видеоматериалов на всех этапах их жизненного цикла.
В современном мире нейросети позволяют создавать правдоподобные видео, которые могут быть использованы для распространения ложной информации. Коалиция компаний собирается разработать технический стандарт, который будет гарантировать отсутствие вмешательства в фото- и видеоматериалы при помощи блокчейн-технологии.
К консорциуму компаний IT-отрасли примкнули Adobe, Microsoft, Intel, Twitter, Sony, Nikon, BBC и Arm. Он уже получил обозначение Coalition for Content Provenance and Authenticity (C2PA). Adobe ожидает, что элементы механизмов проверки подлинности появятся уже в этом году. Через пару лет будет сформирована готовая экосистема, которая позволит контролировать подлинность фото- и видеоматериалов на всех этапах их жизненного цикла.
👍5🤮4
Microsoft прекратит поддержку Office 2013 в апреле 2023 года
«После пяти лет основной поддержки и пяти лет расширенной поддержки Office 2013 достигнет окончания расширенной поддержки 11 апреля 2023 года. В соответствии с политикой фиксированного жизненного цикла после этой даты обновления безопасности для Office 2013 больше не будут доступны», — заявили в Microsoft.
«После пяти лет основной поддержки и пяти лет расширенной поддержки Office 2013 достигнет окончания расширенной поддержки 11 апреля 2023 года. В соответствии с политикой фиксированного жизненного цикла после этой даты обновления безопасности для Office 2013 больше не будут доступны», — заявили в Microsoft.
👍3👎1
Три уязвимости в прошивке UEFI затрагивают миллионы пользователей Lenovo
Lenovo исправила три уязвимости (CVE-2021-3970, CVE-2021-3971 и CVE-2021-3972) в прошивке UEFI, эксплуатация которых позволяет развертывать и успешно запускать вредоносное ПО в BIOS ноутбука Lenovo.
При кибератаках на UEFI вредоносные операции загружаются на скомпрометированное устройство на ранней стадии процесса загрузки. Таким образом вредоносное ПО может подделывать данные конфигурации, устанавливать персистентность и обходить меры безопасности, которые загружаются только на этапе ОС.
Уязвимости затрагивают «более ста различных моделей потребительских ноутбуков с миллионами пользователей по всему миру» и вызваны драйверами, предназначенными для использования только на этапе разработки продуктов Lenovo.
Злоумышленники с достаточно высоким уровнем привилегий могут использовать CVE-2021-3971 для изменения настроек прошивки UEFI, а CVE-2021-3972 требует вмешательства в переменные NVRAM для развертывания вредоносных имплантатов.
Lenovo исправила три уязвимости (CVE-2021-3970, CVE-2021-3971 и CVE-2021-3972) в прошивке UEFI, эксплуатация которых позволяет развертывать и успешно запускать вредоносное ПО в BIOS ноутбука Lenovo.
При кибератаках на UEFI вредоносные операции загружаются на скомпрометированное устройство на ранней стадии процесса загрузки. Таким образом вредоносное ПО может подделывать данные конфигурации, устанавливать персистентность и обходить меры безопасности, которые загружаются только на этапе ОС.
Уязвимости затрагивают «более ста различных моделей потребительских ноутбуков с миллионами пользователей по всему миру» и вызваны драйверами, предназначенными для использования только на этапе разработки продуктов Lenovo.
Злоумышленники с достаточно высоким уровнем привилегий могут использовать CVE-2021-3971 для изменения настроек прошивки UEFI, а CVE-2021-3972 требует вмешательства в переменные NVRAM для развертывания вредоносных имплантатов.
Трудности перехода: как заменить зарубежное IT-решение на российское?
Из-за ограничения работы импортного ПО бизнес-процессы компаний РФ оказались под угрозой. Перед руководителями встал вопрос замены иностранных программ на отечественный софт.
Чтобы обсудить проблемы импортозамещения и найти варианты их решения, Pravo Tech проводит круглый стол «Импортонезависимость 2022».
Вы узнаете:
— Что будет с иностранным ПО в долгосрочной перспективе
— Какие преграды мешали бизнесу перейти на отечественное ПО
— С чего начать процесс замены ПО в компании
— Как подобрать оптимальные IT-решения
Ждем вас онлайн 26 апреля в 12:00 МСК. Регистрируйтесь сейчас, чтобы не пропустить: https://vk.cc/ccTmhj
Из-за ограничения работы импортного ПО бизнес-процессы компаний РФ оказались под угрозой. Перед руководителями встал вопрос замены иностранных программ на отечественный софт.
Чтобы обсудить проблемы импортозамещения и найти варианты их решения, Pravo Tech проводит круглый стол «Импортонезависимость 2022».
Вы узнаете:
— Что будет с иностранным ПО в долгосрочной перспективе
— Какие преграды мешали бизнесу перейти на отечественное ПО
— С чего начать процесс замены ПО в компании
— Как подобрать оптимальные IT-решения
Ждем вас онлайн 26 апреля в 12:00 МСК. Регистрируйтесь сейчас, чтобы не пропустить: https://vk.cc/ccTmhj
Браузер Brave представил функцию для обхода страниц Google AMP
Google AMP — технология, позволяющая Google кэшировать веб-страницы и запускать их в браузере быстрее. Например, когда пользователь делает запрос «главные новости The New York Times», то в этот момент Google загрузит большую часть статей в фоновом режиме, а по клику будет открывать их. При этом юзеру будет казаться, что он находится на сайте новостного издания, но материал будет отправлен с ресурсов Google.
В Brave подчеркивают, что подобный подход нарушает конфиденциальность пользователей, а Google может проще и быстрее анализировать историю посещений ресурсов в Сети. Также технология AMP сбивает юзеров с толку, и они не всегда понимают, с каким ресурсом взаимодействуют.
Для обхода AMP-страниц Brave выпустила функцию De-AMP. Так, теперь браузер распознает ссылки на такие страницы и перенаправляет пользователя на оригинальные.
Также разработчики модифицировали Chromium. Теперь движок анализирует HTML-разметку и распознает AMP-теги. Если подтверждается, что загружаемая страница AMP, то Brave прекращает загрузку, не начинает рендеринг и перенаправляет на оригинальный сайт. Такой подход, как заявляют разработчики, помогает сократить объем той информации, которую узнает о пользователе Google.
Google AMP — технология, позволяющая Google кэшировать веб-страницы и запускать их в браузере быстрее. Например, когда пользователь делает запрос «главные новости The New York Times», то в этот момент Google загрузит большую часть статей в фоновом режиме, а по клику будет открывать их. При этом юзеру будет казаться, что он находится на сайте новостного издания, но материал будет отправлен с ресурсов Google.
В Brave подчеркивают, что подобный подход нарушает конфиденциальность пользователей, а Google может проще и быстрее анализировать историю посещений ресурсов в Сети. Также технология AMP сбивает юзеров с толку, и они не всегда понимают, с каким ресурсом взаимодействуют.
Для обхода AMP-страниц Brave выпустила функцию De-AMP. Так, теперь браузер распознает ссылки на такие страницы и перенаправляет пользователя на оригинальные.
Также разработчики модифицировали Chromium. Теперь движок анализирует HTML-разметку и распознает AMP-теги. Если подтверждается, что загружаемая страница AMP, то Brave прекращает загрузку, не начинает рендеринг и перенаправляет на оригинальный сайт. Такой подход, как заявляют разработчики, помогает сократить объем той информации, которую узнает о пользователе Google.
👍15😁2
Сайты REvil внезапно снова заработали
Исследователи безопасности обнаружили на русскоязычном форуме RuTOR рекламу нового сайта утечек REvil. Ресурс размещен на другом домене, но ведет на оригинальный сайт группировки, которым она пользовалась, когда была активной.
В январе после ареста 14 предполагаемых участников REvil в России, исследователь MalwareHunterTeam сообщил, что была зафиксирована активность новой группировки, связанной с REvil. Однако что это за связи, он не уточнил. В период с 5 по 10 апреля исследователь заметил, что текущий связанный с группировкой сайт работает, но на нем нет никакого контента. Примерно через неделю контент начал появляться.
MalwareHunterTeam также обнаружил в источнике RSS строку Corp Leaks, ранее использовавшуюся ныне нефункционирующей кибервымогательской группировкой Nefilim.
Блог и сайт для уплаты выкупа развернуты на разных серверах. Блог загружает cookie-файл DEADBEEF – компьютерный термин, которым пользовались кибервымогатели TeslaCrypt для создания файлов.
Кто стоит за новой операцией с применением серверов REvil, пока установить нельзя.
Исследователи безопасности обнаружили на русскоязычном форуме RuTOR рекламу нового сайта утечек REvil. Ресурс размещен на другом домене, но ведет на оригинальный сайт группировки, которым она пользовалась, когда была активной.
В январе после ареста 14 предполагаемых участников REvil в России, исследователь MalwareHunterTeam сообщил, что была зафиксирована активность новой группировки, связанной с REvil. Однако что это за связи, он не уточнил. В период с 5 по 10 апреля исследователь заметил, что текущий связанный с группировкой сайт работает, но на нем нет никакого контента. Примерно через неделю контент начал появляться.
MalwareHunterTeam также обнаружил в источнике RSS строку Corp Leaks, ранее использовавшуюся ныне нефункционирующей кибервымогательской группировкой Nefilim.
Блог и сайт для уплаты выкупа развернуты на разных серверах. Блог загружает cookie-файл DEADBEEF – компьютерный термин, которым пользовались кибервымогатели TeslaCrypt для создания файлов.
Кто стоит за новой операцией с применением серверов REvil, пока установить нельзя.
🤔6🔥4
Российский аналог App Store и Google Play запустят к 1 июня
Премьер-министр РФ Михаил Мишустин дал задание завершить создание отечественного магазина приложений для мобильных устройств до 1 июня.
Сегодня на сайте кабмина было опубликовано следующее заявление от Мишустина: «Обеспечить завершение создания отечественного магазина приложений для мобильных устройств». Поручение дано Минцифры РФ, которое должно исполнить его до конца весны.
Премьер-министр РФ Михаил Мишустин дал задание завершить создание отечественного магазина приложений для мобильных устройств до 1 июня.
Сегодня на сайте кабмина было опубликовано следующее заявление от Мишустина: «Обеспечить завершение создания отечественного магазина приложений для мобильных устройств». Поручение дано Минцифры РФ, которое должно исполнить его до конца весны.
👍7😁3🤮2🤯1
Криптографическая уязвимость в Java позволяет подделывать сертификаты
В новых версиях Java-фреймворка Oracle обнаружена уязвимость, эксплуатация которой позволяет злоумышленникам легко подделывать сертификаты и TLS-подписи, сообщения двухфакторной аутентификации и учетные данные авторизации, созданные рядом широко используемых открытых стандартов. CVE-2022-21449 получила оценку в 7,5 балла по шкале CVSS.
Уязвимость затрагивает реализацию алгоритма с открытым ключом Elliptic Curve Digital Signature Algorithm (ECDSA) в версиях Java 15 и младше.
«Если компания использует одну из уязвимых версий Java, злоумышленник может легко подделать некоторые типы SSL-сертификатов и рукопожатий (позволяющих перехватывать и изменять сообщения), подписанные JWT, утверждения SAML или токены идентификатора OIDC и даже сообщения аутентификации WebAuthn», — пояснил исследователь из ИБ-фирмы ForgeRock Нил Мэдден (Neil Madden), обнаруживший уязвимость.
В новых версиях Java-фреймворка Oracle обнаружена уязвимость, эксплуатация которой позволяет злоумышленникам легко подделывать сертификаты и TLS-подписи, сообщения двухфакторной аутентификации и учетные данные авторизации, созданные рядом широко используемых открытых стандартов. CVE-2022-21449 получила оценку в 7,5 балла по шкале CVSS.
Уязвимость затрагивает реализацию алгоритма с открытым ключом Elliptic Curve Digital Signature Algorithm (ECDSA) в версиях Java 15 и младше.
«Если компания использует одну из уязвимых версий Java, злоумышленник может легко подделать некоторые типы SSL-сертификатов и рукопожатий (позволяющих перехватывать и изменять сообщения), подписанные JWT, утверждения SAML или токены идентификатора OIDC и даже сообщения аутентификации WebAuthn», — пояснил исследователь из ИБ-фирмы ForgeRock Нил Мэдден (Neil Madden), обнаруживший уязвимость.
🤬3
Из-за DDoS-атаки 1C не работает с 21 апреля
21 апреля пользователи Сети начали сообщать о проблемах с работой всех сервисов 1С. Недоступны обновления, невозможно зайти в личный кабинет и на сервис ИТС, не работает ЭДО и 1С:отчётность. 25 числа необходимо подавать отчёт в налоговую, но его невозможно подготовить из-за сбоя.
В официальном Telegram-канале 1C:Франчайзи появилась информация, что доступ к сервисам пропал из-за DDoS-атаки на ресурсы 1С и часть сайтов компании.
21 апреля пользователи Сети начали сообщать о проблемах с работой всех сервисов 1С. Недоступны обновления, невозможно зайти в личный кабинет и на сервис ИТС, не работает ЭДО и 1С:отчётность. 25 числа необходимо подавать отчёт в налоговую, но его невозможно подготовить из-за сбоя.
В официальном Telegram-канале 1C:Франчайзи появилась информация, что доступ к сервисам пропал из-за DDoS-атаки на ресурсы 1С и часть сайтов компании.
🔥3👎1
Уязвимость в ALAC позволяет захватить контроль над миллионами Android-устройств
ALAC (Apple Lossless Audio Codec или Apple Lossless) – аудиоформат, представленный Apple в 2004 году и позволяющий предоставлять аудио в формате lossless через интернет. С тех пор Apple исправляла уязвимости, однако версия, которой пользуются Qualcomm и MediaTek, не обновлялась с 2011 года.
Уязвимость представляет собой чтение данных за пределами выделенной области памяти и позволяет злоумышленникам выполнить вредоносный код на устройстве с помощью вредоносного аудиофайла, что в других условиях было бы невозможно.
Некоторые исследователи заявляют, что атакам подвержены две трети смартфонов, проданных в 2021 году, если они не получили обновлений.
Уязвимость в ALAC (CVE-2021-30351 в классификации Qualcomm и CVE-2021-0674/CVE-2021-0675 в классификации MediaTek) также может быть проэксплуатирована Android-приложением без привилегий для получения привилегий системы и доступа к медиаданным и микрофону.
ALAC (Apple Lossless Audio Codec или Apple Lossless) – аудиоформат, представленный Apple в 2004 году и позволяющий предоставлять аудио в формате lossless через интернет. С тех пор Apple исправляла уязвимости, однако версия, которой пользуются Qualcomm и MediaTek, не обновлялась с 2011 года.
Уязвимость представляет собой чтение данных за пределами выделенной области памяти и позволяет злоумышленникам выполнить вредоносный код на устройстве с помощью вредоносного аудиофайла, что в других условиях было бы невозможно.
Некоторые исследователи заявляют, что атакам подвержены две трети смартфонов, проданных в 2021 году, если они не получили обновлений.
Уязвимость в ALAC (CVE-2021-30351 в классификации Qualcomm и CVE-2021-0674/CVE-2021-0675 в классификации MediaTek) также может быть проэксплуатирована Android-приложением без привилегий для получения привилегий системы и доступа к медиаданным и микрофону.
Вы хотите запустить свой IT-проект, но не знаете, как правильно оформить документы?🤯
Меня зовут Владимир, и я юрист в области сопровождения IT-проектов и онлайн-бизнеса💻 Данная сфера активно развивается в наше время, и очень многие начинают запускать свои IT-стартапы, Интернет-проекты. Однако далеко не каждый знает, как, к примеру, правильно оформить обработку персональных данных или же как именно защитить свой ресурс от плагиата. Я имею опыт в разрешении данных проблем, чем с радостью с Вами поделюсь. Присоединяйтесь, и вместе мы разберём:
✅ Основные нюансы построения современного онлайн-бизнеса;
✅ Проблемы регистрации и оформления IT-проектов;
✅ Актуальные новости в мире IT-права.
🔥Скорее подписывайтесь и узнавайте полезное уже сейчас https://news.1rj.ru/str/lawinbusiness
Меня зовут Владимир, и я юрист в области сопровождения IT-проектов и онлайн-бизнеса💻 Данная сфера активно развивается в наше время, и очень многие начинают запускать свои IT-стартапы, Интернет-проекты. Однако далеко не каждый знает, как, к примеру, правильно оформить обработку персональных данных или же как именно защитить свой ресурс от плагиата. Я имею опыт в разрешении данных проблем, чем с радостью с Вами поделюсь. Присоединяйтесь, и вместе мы разберём:
✅ Основные нюансы построения современного онлайн-бизнеса;
✅ Проблемы регистрации и оформления IT-проектов;
✅ Актуальные новости в мире IT-права.
🔥Скорее подписывайтесь и узнавайте полезное уже сейчас https://news.1rj.ru/str/lawinbusiness
PwC в России приглашает на бесплатный вебинар, посвященный вопросам трансформации ИТ-архитектуры компаний.
Эксперты разберут следующие темы:
— Кейсы: с какими вызовами сталкивается ИТ-архитектура компаний в текущих условиях?
— Как бизнес реагирует на происходящее и какие предпринимает шаги по изменению ИТ-ландшафта компании?
— Изменение текущих подходов и трансформация ИТ-стратегии развития бизнес-приложений.
— Кейсы: современные решения и практическое применение альтернативной ИТ-архитектуры компании. Композитная архитектура, микросервисы.
— Расширение композитной ИТ-архитектуры для аналитики и Machine Learning на базе Open Source.
Вебинар состоится 27 апреля, участие бесплатное. Регистрация до 26 апреля включительно: https://pwc.to/3MkCpWr
Эксперты разберут следующие темы:
— Кейсы: с какими вызовами сталкивается ИТ-архитектура компаний в текущих условиях?
— Как бизнес реагирует на происходящее и какие предпринимает шаги по изменению ИТ-ландшафта компании?
— Изменение текущих подходов и трансформация ИТ-стратегии развития бизнес-приложений.
— Кейсы: современные решения и практическое применение альтернативной ИТ-архитектуры компании. Композитная архитектура, микросервисы.
— Расширение композитной ИТ-архитектуры для аналитики и Machine Learning на базе Open Source.
Вебинар состоится 27 апреля, участие бесплатное. Регистрация до 26 апреля включительно: https://pwc.to/3MkCpWr
GitHub заблокировал репозиторий SymPy из-за ложной жалобы
Причиной блокировки стала ложная жалоба о нарушении авторских прав от компании HackerRank. Её сотрудники на одной из страниц документации проекта SymPy нашли возможное нарушение авторских прав и отправили официальный запрос о блокировке. После этого GitHub заблокировал официальный репозиторий с документацией к проекту SymPy и сайт проекта, который хостился на серверах GitHub.
После возмущения пользователей компания отозвала жалобу и признала свою ошибку.
Причиной блокировки стала ложная жалоба о нарушении авторских прав от компании HackerRank. Её сотрудники на одной из страниц документации проекта SymPy нашли возможное нарушение авторских прав и отправили официальный запрос о блокировке. После этого GitHub заблокировал официальный репозиторий с документацией к проекту SymPy и сайт проекта, который хостился на серверах GitHub.
После возмущения пользователей компания отозвала жалобу и признала свою ошибку.
🤮3🤬1
Энтузиаст зарядил iPhone с помощью яблок
Энтузиаст Сэм Баркер насобирал яблок, выварил их и добавил активированные сухие дрожжи, чтобы запустить процесс брожения. Так, за несколько недель у него получился этанол, правда всего 15%. Энтузиасту требовалось перегнать его, чтобы получить 94-процентный раствор для работы двигателя. Для работы на этаноле Сэм адаптировал двигатель бензопилы.
Далее он использовал молекулярное сито, которое поглощало воду, но не этанол. Он прикрепил двигатель и генератор к старой разделочной доске, выполнил точную настройку правого дросселя и воздушной заслонки, но телефон не заряжался. Тогда Сэм увеличил обороты двигателя, но регулятор заряда взорвался. Оказалось, что мультиметр был расположен неправильно и выдавал отрицательное напряжение. С заменой платы телефон зарядился. Сэм заявил, что он наблюдал показатель более 50 вольт.
Энтузиаст Сэм Баркер насобирал яблок, выварил их и добавил активированные сухие дрожжи, чтобы запустить процесс брожения. Так, за несколько недель у него получился этанол, правда всего 15%. Энтузиасту требовалось перегнать его, чтобы получить 94-процентный раствор для работы двигателя. Для работы на этаноле Сэм адаптировал двигатель бензопилы.
Далее он использовал молекулярное сито, которое поглощало воду, но не этанол. Он прикрепил двигатель и генератор к старой разделочной доске, выполнил точную настройку правого дросселя и воздушной заслонки, но телефон не заряжался. Тогда Сэм увеличил обороты двигателя, но регулятор заряда взорвался. Оказалось, что мультиметр был расположен неправильно и выдавал отрицательное напряжение. С заменой платы телефон зарядился. Сэм заявил, что он наблюдал показатель более 50 вольт.
👍3🔥1
Хакеры забыли забрать криптовалюту на $1 млн после атаки на DeFi-проект
Киберпреступники атаковали протокол кредитования DeFi Zeed. Им удалось похитить средства, воспользовавшись уязвимостью в коде. Взлом привел к тому, что цена криптовалюты YEED упала до нуля, а хакер получил прибыль в размере $1 млн.
Однако специалисты PeckShield сообщили, что злоумышленники не перевели средства после атаки, прежде чем вызвать функцию «самоуничтожения» скомпрометированного смарт-контракта. Таким образом, украденная криптовалюта пропала навсегда.
Киберпреступники атаковали протокол кредитования DeFi Zeed. Им удалось похитить средства, воспользовавшись уязвимостью в коде. Взлом привел к тому, что цена криптовалюты YEED упала до нуля, а хакер получил прибыль в размере $1 млн.
Однако специалисты PeckShield сообщили, что злоумышленники не перевели средства после атаки, прежде чем вызвать функцию «самоуничтожения» скомпрометированного смарт-контракта. Таким образом, украденная криптовалюта пропала навсегда.
Главные новости недели
👑 Уязвимость в 7-Zip, позволяющая получить привилегии SYSTEM в Windows
📸 Adobe, Microsoft и Intel разработают стандарт подтверждения подлинности видео и фото
💻 Три уязвимости в прошивке UEFI затрагивают миллионы пользователей Lenovo
💐 Российский аналог App Store и Google Play запустят к 1 июня
🔓Криптографическая уязвимость в Java позволяет подделывать сертификаты
👑 Уязвимость в 7-Zip, позволяющая получить привилегии SYSTEM в Windows
📸 Adobe, Microsoft и Intel разработают стандарт подтверждения подлинности видео и фото
💻 Три уязвимости в прошивке UEFI затрагивают миллионы пользователей Lenovo
💐 Российский аналог App Store и Google Play запустят к 1 июня
🔓Криптографическая уязвимость в Java позволяет подделывать сертификаты
👍4
Google позволит европейским пользователям отклонять все cookie файлы
Раньше Google разрешал пользователям принимать все cookie файлы одним кликом, но настроить их было намного сложнее. По словам CNIL (французский надзорный орган по защите данных), эта асимметрия была незаконной и заставляла пользователей принимать cookie-файлы в интересах рекламного бизнеса Google.
Из-за этого CNIL оштрафовал Google на 150 млн евро и пригрозил дополнительным штрафом в размере 100 000 евро в день, если компания в течение трех месяцев не подчинится действующим в стране правилам.
После штрафа Google представил новый дизайн. В обновленном баннере теперь три кнопки. Новая кнопка - «Запретить все» - позволяет пользователям полностью отказаться от cookie файлов одним щелчком мыши.
«Начиная с Франции мы будем распространять этот опыт на остальную часть Европейской экономической зоны, Великобританию и Швейцарию. Вскоре у пользователей в этом регионе появится новый выбор cookie файлов, который можно будет принять или отклонить одним щелчком мыши.»
И все же многие пользователи просто не увидят обновленное всплывающее окно. Если вы уже вошли в учетную запись Google, то компании не нужно получать ваше согласие, так как настройки уже сохранены на странице вашего профиля.
Раньше Google разрешал пользователям принимать все cookie файлы одним кликом, но настроить их было намного сложнее. По словам CNIL (французский надзорный орган по защите данных), эта асимметрия была незаконной и заставляла пользователей принимать cookie-файлы в интересах рекламного бизнеса Google.
Из-за этого CNIL оштрафовал Google на 150 млн евро и пригрозил дополнительным штрафом в размере 100 000 евро в день, если компания в течение трех месяцев не подчинится действующим в стране правилам.
После штрафа Google представил новый дизайн. В обновленном баннере теперь три кнопки. Новая кнопка - «Запретить все» - позволяет пользователям полностью отказаться от cookie файлов одним щелчком мыши.
«Начиная с Франции мы будем распространять этот опыт на остальную часть Европейской экономической зоны, Великобританию и Швейцарию. Вскоре у пользователей в этом регионе появится новый выбор cookie файлов, который можно будет принять или отклонить одним щелчком мыши.»
И все же многие пользователи просто не увидят обновленное всплывающее окно. Если вы уже вошли в учетную запись Google, то компании не нужно получать ваше согласие, так как настройки уже сохранены на странице вашего профиля.
👍6
Google запретит записывать звонки на Android-смартфонах
Google намерен запретить разработчикам приложений для Android интегрировать в свои продукты функцию записи звонков. Специалисты полагают, что решение Google вызвано тем, что в разных регионах существуют разные законы, разрешающие или запрещающие запись телефонных разговоров. В то же время, все эти меры никак не затронут встроенные приложения от производителей смартфонов.
Google намерен запретить разработчикам приложений для Android интегрировать в свои продукты функцию записи звонков. Специалисты полагают, что решение Google вызвано тем, что в разных регионах существуют разные законы, разрешающие или запрещающие запись телефонных разговоров. В то же время, все эти меры никак не затронут встроенные приложения от производителей смартфонов.
👎7💩1