Эксперты Google нашли 18 уязвимостей в чипсетах Samsung Exynos

Эксперты из команды Google Project Zero выявили 18 уязвимостей нулевого дня в чипсетах Samsung Exynos, широко используемых в мобильных и носимых устройствах, а также автомобилях. Злоумышленники могут удаленно скомпрометировать уязвимый телефон на baseband-уровне без какого-либо взаимодействия с пользователем.

В основном исследователи обнаружили проблемы в модеме Exynos. Четыре из восемнадцати багов позволяют удаленно выполнить произвольный код на baseband-уровне.

Из-за редкого сочетания уровня доступа, предоставляемого этими уязвимостями, и скорости, с которой может быть создан рабочий эксплоит для них, исследователи решили сделать исключение и пока откладывают детальное раскрытие информации об этих багах.

Специалисты описывают эти RCE-уязвимости как Internet-to-baseband баги, позволяющие удаленно скомпрометировать уязвимые устройства без взаимодействия с пользователем. В сущности, единственной информацией, необходимой для проведения атаки, является номер телефона жертвы.

Оставшиеся 14 уязвимостей не столь критичны: для их эксплуатации потребуется локальный доступ или вредоносный оператор мобильной сети.

▫️ Samsung сообщает, что в список затронутых устройств входят следующие девайсы:
- мобильные устройства Samsung серий S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 и A04;
- мобильные устройства Vivo серий S16, S15, S6, X70, X60 и X30;
- серия устройств Pixel 6 и Pixel 7 от Google;
- любые носимые устройства, использующие чипсет Exynos W920;
- любые автомобили, использующие чипсет Exynos Auto T5123.

Пока исправления не будут доступны, Samsung рекомендует пользователям «отключить вызовы через Wi-Fi и VoLTE», а затем как можно скорее обновить устройства.

Вышел бесплатный дешифратор для пВышел бесплатный дешифратор для пострадавших от шифровальщика Conti

Утилита, позволяющая вернуть пострадавшие файлы в прежнее состояние, работает с теми образцами программы-вымогателя, которые появились после слива исходного кода Conti (в марте 2022 года).

​Создатель GPT боится своего изобретения

Сэм Альтман, генеральный директор OpenAI, называет эту технологию величайшей из всех, когда-либо разработанной человечеством. Однако он опасается некоторых изменений, которые несёт за собой технология. По его словам, хотя GPT и находится под контролем человека, с каждым новым разом обеспечивать безопасность всё сложнее.

Он считает, что найдутся те, кто снимет с неё ограничения и общество должно заранее придумать, как на это реагировать, пока не стало поздно.

Amazon сокращает 9 тыс. сотрудников

Amazon уволит 9 тыс. человек в ближайшие недели: об этом в служебной записке, адресованной сотрудникам компании, заявил генеральный директор Энди Джесси. Эти сокращения станут вторым этапом, первый начался в ноябре 2022 и закончился в январе этого года, когда компания ликвидировала 18 тыс. рабочих мест, в первую очередь в рознице, рекрутинге и HR-отделе. В ходе нынешнего раунда увольнений пострадают команды облачных вычислений и Twitch, отделы рекламы и HR.

Google предложила сократить срок действия TLS-сертификатов для защиты веб-сайтов и онлайн-сервисов с года до 90 суток

Google предложила сократить максимальный срок действия TLS-сертификатов для защиты веб-сайтов и коммутационных сервисов с 13 месяцев (398 дней) до 90 суток. Пока что это предложение находится на стадии обсуждения. В случае согласования с профильными организациями разработчиков могут обязать обновлять каждый TLS-сертификат четыре раза в год с конца 2024 года.

Google пояснила, что такое решение в рамках развития проекта Chromium поможет изменить в лучшую сторону текущую ситуацию с безопасностью в интернете и затруднит для злоумышленников осуществление мошеннических действий в рамках создания фейковых сайтов и сервисов, с помощью которых они обманывают пользователей.

Из-за санкций США Huawei заменила 13 тыс. компонентов в своих устройствах

Глава Huawei утверждает, что в 2022 году корпорация инвестировала в разработку и исследования около 23,8 млрд долларов. Вместе с этим компания заменила 13 тыс. компонентов в своих гаджетах и за последние три года перепроектировала 4 тыс. печатных плат. Также Чжэнфэй рассказал, что компании уже удалось стабилизировать производство.

Вместе с этим в 2022 году Huawei разработала собственную систему планирования ресурсов предприятия под названием MetaERP. С её помощью компания может автоматизировать основные бизнес-функции, включая управление финансами, производственными операциями и цепочками поставок.

OpenAI приостановила работу ChatGPT на 4 часа из-за утечки части диалогов пользователей

Из-за сбоя 20 марта некоторые пользователи в веб-интерфейсе ChatGPT могли видеть часть бесед ChatGPT других пользователей. Они видели заголовки бесед, но не могли читать чужую переписку с чат-ботом. Также из-за сбоя произошла потеря истории разговоров пользователей.

OpenAI официально не прокомментировала проблему, обозначив инцидент со сбоем лишь общими фразами. Известно, что сбой в IT-сервисах компании произошёл из-за бага в стороннем ПО с открытым исходным кодом.

Главный архитектор графики Intel покидает компанию

После пяти лет попыток сделать Intel конкурентом Nvidia и AMD в области дискретной графики для геймеров глава соответствующего подразделения Раджа Кодури покидает компанию. Он создаст собственный стартап в области генеративного ИИ.

Кодури отвечал не только за графику, но и за инициативы Intel в области «ускоренных вычислений», включая разработку чипов для майнинга.

Крупнейший хакерский форум BreachForums закрылся

Хакерский форум Breach (BreachForums) закрылся после ареста его основателя и администратора, известного под ником Pompompurin. Оставшийся администратор сайта сообщил, что правоохранительные органы могли получить доступ к серверам ресурса и машине Pompompurin’а, а значит, продолжать работу небезопасно.

В начале недели американские правоохранительные органы сообщили об аресте жителя Нью-Йорка, который, как они считают, является владельцем и основателем хакерского форума BreachForums, и известен в сети как Pompompurin.

В последнее время BreachForums был крупнейшим хак-форумом, посвященным утечкам данных, и обычно именно он использовался взломщиками и вымогателями для «слива» информации.

Новая атака Red Pills позволяет похищать криптовалюту во время транзакций

Исследователи из ZenGo Wallet обнаружили, что децентрализованные приложения, в том числе Coinbase Wallet, уязвимы для новой атаки Red Pills Attack, которая позволяет смарт-контрактам скрывать вредоносное поведение во время моделирования транзакций. Это заставляет пользователя поверить в безопасность транзакций – пользователь проведёт её, только позже узнав, что смарт-контракт украл все активы.

Эта атака проводится путем заполнения переменных в смарт-контракте «безопасными» данными во время моделирования, а затем заменой их «вредоносными» данными во время реальной транзакции. Это приводит к тому, что симуляция покажет смарт-контракт как безопасный во время имитации, но во время реальной транзакции контракт украдет криптовалюту пользователей.

В состав браузера Opera вошли ChatGPT и ИИ-подсказки

Для получения доступа к ним нужно обновиться до последней версии браузера, открыть настройки и активировать переключатель «Подсказки AI». В браузере Opera GX следует включить опцию «Ранняя пташка».

Разработчики говорят, что это первый шаг по внедрению ИИ в состав браузера. На втором этапе функциональность будет работать на собственном ИИ-движке Opera на основе GPT.

Counter-Strike 2 официально анонсирована

На официальном канале в YouTube есть уже три ролика, рассказывающих об некоторых тонкостях создания сетевого шутера. В новой каэске переработанные карты, обновлённые дымовые гранаты, улучшенная система освещения с отражениями и другие штуки.

Microsoft добавила в тестовую версию Windows 11 поддержку файловой системы ReFS

Microsoft выпустила инсайдерскую сборку Windows 11 25324, в которой обновила файловую систему Resilient File System (ReFS) с версии 3.9 до 3.10.

По сравнению с NTFS она обещает большую отказоустойчивость, производительность, например, на виртуальных машинах, и поддержку большего размера данных (до 35 ПБ против 256 ТБ в NTFS). Однако у ReFS нет некоторых функций, которые есть в NTFS, включая сжатие системы, поддержку дисковых квот и съёмных носителей.

Microsoft также добавляет возможность создания «Dev Drive» или devvol на основе ReFS из приложения «Настройки». Dev Drive, вероятно, предназначены для использования в качестве среды разработки и, по-видимому, позволят разработчикам создавать виртуальные жёсткие диски (VHD).
В новой сборке также появился «Динамический том для разработчиков».

NVIDIA: криптовалюты не приносят пользы, в отличие от вычислительных мощностей для ИИ

Компания заявила, что криптовалюты не приносят обществу никакой пользы, хотя не так давно она получала значительные прибыли от продажи видеокарт и чипов для майнинга. Главный технический директор NVIDIA, Майкл Каган, высказал мнение, что более полезными областями применения вычислительной мощности являются проекты, такие как чат-бот с искусственным интеллектом ChatGPT.

Каган отметил, что криптовалюты требуют параллельной обработки данных, что является преимуществом для NVIDIA. Однако, компания не считает криптовалюты полезными для общества, поскольку ценность их преувеличена. Вместо этого, NVIDIA уделяет больше внимания проектам, связанным с искусственным интеллектом.