Уязвимости в маршрутизаторах Netgear и D-Link, приводящие к удалённому выполнению кода без прохождения аутентификации

Информация опубликована проектом Zero Day Initiative, предоставляющем денежные вознаграждения за сообщения о неисправленных уязвимостях и проводящим соревнования Pwn2Own.

✅ CVE-2023-35723 - уязвимость в прошивке маршрутизатора D-Link DIR-X3260, позволяющая без прохождения аутентификации удалённо выполнить свой код на устройстве с правами root. Проблема проявляется при обработке запросов SOAPAction в скрипте prog.cgi и вызвана отсутствием должной проверки входных данных перед их использованием для запуска команд через функцию system(). Уязвимость устранена в обновлении прошивки 1.04B01 (Beta-Hotfix).
✅ CVE-2023-35722 - уязвимость в маршрутизаторах NETGEAR RAX30, позволяющая удалённо выполнить свой код с правами root без прохождения аутентификации. Уязвимость проявляется при обработке запросов на сопоставления портов через UPnP и вызвана некорректной проверкой входных данных перед использованием в функции system(). Уязвимость устранена в обновлении прошивки 1.0.11.96_2_HOTFIX.
✅ CVE-2023-35721 - уязвимость в различных моделях маршрутизаторов NETGEAR, позволяющая в ходе MITM-атаки модифицировать загружаемое обновление прошивки и добиться выполнения своего кода с правами root. Уязвимости вызвана тем, что несмотря на использование HTTPS для шифрования канала связи при загрузке данных, на устройстве не выполнялась проверка корректности сертификата сервера. Для моделей RAX50 проблема устранена в обновлении прошивки 1.0.15.128.

🥸 godnoTECH

ИИ будет преподавать в Гарварде курс по программированию

С сентября бот на основе ИИ будет учить студентов основам программирования. Цель благая: предоставить инструменты, доступные 24/7 и сделать обучение более индивидуальным, разгрузив преподавателей для общения со студентами.

Студенты, посещающие курс «Введение в информатику» (CS50), смогут использовать ИИ для отладки кода, получения обратной связи по своим проектам и получения ответов на индивидуальные вопросы об ошибках и непонятных строках в коде.

Если же вы не студент Гарварда, вы можете пройти этот курс бесплатно.

🥸 godnoTECH

Twitter начал требовать регистрацию для просмотра контента

Помимо этого подтвержденные учетные записи теперь могут читать только 6000 сообщений в день, неподтвержденные учетные записи могут читать только 600, а новые неподтвержденные пользователи могут читать только 300.

Владелец Twitter Илон Маск заявил, что это временная мера из-за увеличения трафика от неавторизованных пользователей, вызывающего неудобства для зарегистрированных пользователей.

🥸 godnoTECH

Samsung наращивает производство чипов, чтобы бросить вызов TSMC

Подразделение Samsung Electronics Co. по производству чипов увеличивает производственные мощности и внедряет более передовые производственные технологии, стремясь увеличить долю рынка, отняв ее у TSMC

Южнокорейская компания заявила, что к 2025 году начнет производство 2-нм. чипов. 2-нм техпроцесс повысит производительность на 12% и энергоэффективность на 25% по сравнению с самой передовой на данный момент 3-нм технологией.

🥸 godnoTECH

Поставщик TSMC стал жертвой хакеров, они требуют выкупа в $70 млн

Крупнейший в мире производитель чипов TSMC столкнулся с вымогателями. Хакерская группировка LockBit объявила, что располагает данными компании и опубликует их, если TSMC не заплатит выкуп в $70 млн до 6 августа. В случае отказа от платежа «будут опубликованы точки входа в сеть, пароли и логины компании».

Группировка не предоставила доказательств атаки. Более того, как пояснила сама TSMC, атаке подверглись не её системы, а системы одного из её поставщиков - компании Kinmax Technology, которая специализируется на облачных вычислениях, хранении и управлении базами данных.

«По результатам проверки этот инцидент не повлиял на бизнес-операции TSMC и не поставил под угрозу информацию о клиентах TSMC», — заявил представитель компании.

TSMC уже прекратила операции с поставщиком. Сама Kinmax сообщает, что обнаружила атаку и утечку данных утром 29 июня. Kinmax также принесла извинения своим пострадавшим партнёрам, что, вероятно, означает, что инцидент задел не только TSMC. Как следует из информации на сайте Kinmax, в числе её партнёров такие компании, как HPE, Cisco, Microsoft, Citrix и VMware. Ни одна из перечисленных организаций пока не сообщала о требованиях выкупа.

🥸 godnoTECH

GitLab представила собственного ИИ-помощника для разработчиков

GitLab запустила открытый бета-тест Code Suggestions — ИИ-функции, помогающей разработчикам писать код. Code Suggestions поддерживает работу с 13 языками программирования: C/C++, C#, Go, Java, JavaScript, Python, PHP, Ruby, Rust, Scala, Kotlin, и TypeScript.

С помощью Code Suggestions пользователи могут генерировать фрагменты кода по текстовому описанию на естественном языке. К примеру, можно попросить написать шаблонный сниппет или тесты.

GitLab утверждает, что не использует пользовательский код для обучения моделей.

Сейчас команда работает над расширением для Visual Studio Code и IDE на базе JetBrains IntelliJ, которое поможет получать доступ к Code Suggestions из редактора кода.

🥸 godnoTECH

Вышел GitHub Enterprise Server 3.9

Основные нововведения в Enterprise Server 3.9:
- GitHub Projects показывает дорожную карту в новом временном представлении, а проекты и задачи стало легче стандартизировать и автоматизировать с помощью таких инструментов, как формы задач;

- секретное сканирование проверяет наличие пользовательских шаблонов при отправке, сохраняя конфиденциальную информацию вне кодовой базы;

- сканирование кода можно включить всего за пару кликов, что упрощает предотвращение использования уязвимостей;

- автоматическое масштабирование самостоятельных исполнителей производится с помощью контроллера Actions Runner Controller на основе Kubernetes, который теперь поддерживается GitHub;

- появилось больше контроля и информации для управления GHES благодаря расширенным журналам, новым инструментам обновления и журналу аудита.

В выпуске 3.9 также улучшили бета-версию GitHub Projects на GHES, добавив новый макет дорожной карты, инструменты автоматизации и многое другое.

🥸 godnoTECH

NYT: ФСБ следит за вами в Telegram

Журналисты NYT изучили документы российских поставщиков технологий и пришли к следующим выводам:

- Спецслужбы могут узнать, где когда и с кем вы переписываетесь:
- Читать ваши сообщения в зашифрованных мессенджерах они пока не научились;
- Разработка NetBeholder позволяет силовикам определять участников переписки, устанавливать место и время отправки сообщений и даже вычислить все гаджеты, которыми вы пользуетесь.

Данные о телефонах, которые находились в одном и том же месте в определенный день, тоже будут доступны операторам программы.

🥸 godnoTECH

Производительность труда разработчиков за счёт ИИ может увеличить мировой ВВП на $1,5 трлн

Согласно исследованию GitHub, на сегодняшний день ИИ-помощник GitHub Copilot используют около миллиона разработчиков и более чем 20 тысяч организаций.

Анализ выборки пользователей GitHub Copilot из 934 533 человек показывает значительное влияние на их производительность. В течение первого года на рынке пользователи приняли почти 30% предложений по коду от ИИ-помощника. С течением времени уровень одобрения рос 🔼

Если повышение производительности составляет 30%, а прогнозируемое число профессиональных разработчиков вырастет до 45 млн в 2030 году, то можно сделать вывод, что инструменты разработки на базе генеративного ИИ увеличат производительность 15 млн «эффективных разработчиков». Из-за этого мировое ВВП может вырасти более чем на $1,5 трлн (а может и не вырасти.. 🌚 Если в это исследование добавить потери от ошибок ИИ, то результат будет не таким хорошим).

Как по мне, чат-бот терпелив и хорошо объясняет, в отличие от человека. Но за ним нужен глаз да глаз. 🌚 А какой у вас опыт с ИИ-помощниками?

🥸 godnoTECH

Опасный разъем 12VHPWR заменят

Разъём 12VHPWR с выходом GeForce RTX 4090 запомнился прогарами. Теперь Nvidia заменит его новым более безопасным 12V-2x6. Он войдет в спецификации PCle Base 6. Кроме того, физически 12V-2x6 полностью совместим с 12VHPWR. Правда, из-за иных характеристик для полной совместимости может потребоваться обновление ПО. В новом разъеме будет изменена длина контактов и проведена работа над ошибками, что сделает его надежнее.

🥸 godnoTECH

Подборка 30 нейронок на все случаи жизни 🧠

🥸 godnoTECH

OpenAI отключает плагин Bing в ChatGPT из-за пиратства

OpenAI обнаружила ошибку в своем плагине Browse, которая непреднамеренно позволяла пользователям читать статьи с платным доступом на множестве интернет ресурсов.

Всё началось с того, что участник сабреддита r/ChatGPT опубликовал скриншот сеанса Browse, в котором он попросил чат-бота «напечатать текст» из ссылки на платную статью издания The Atlantic. В ответ ChatGPT предоставил статью полностью без платного доступа.

Пользователи предположили, что ChatGPT использует тот же механизм, что и онлайн-программы для удаления платного доступа, которые «читают кешированную Google версию статьи», не имеющую платного доступа, для целей поисковой оптимизации.

OpenAI уведомила своих пользователей, что закроет эту лазейку.

🥸 godnoTECH

Искусственный интеллект в автономном режиме разработал новый процессор

Cозданный машиной процессор выполнен по 65-нанометровому техпроцессу, на базе набора инструкций RISC-V32IA. Его максимальная тактовая частота составила 300 МГц. Для оценки реальной производительности на данном процессоре запустили операционную систему Linux (с версией ядра 5.15) и бенчмарки SPECCINT2000 (стандарт 1999 г.) и Dhrystone.

Результаты оказались не слишком впечатляющими: производительность процессора оказалась примерно на уровне процессора Intel 80486, притом, что максимальная тактовая частота первого поколения этих процессоров составляла 25-33 МГц. При этом процессор продемонстрировал чуть лучшие результаты, чем, например, AcornArchimedesA3010 1992 г. выпуска, вычислительную основу которого также составлял RISC-процессор, правда, с тактовой частотой всего 8 МГц.

Тем не менее, исследователи гордятся тем, что машина, на основе сгенерированной ими BSD, «смогла с нуля изобрести архитектуру фон Нейманна».

🥸 godnoTECH

В ночь с 4 на 5 июля в РФ «выключали международный интернет»

СМИ сообщили, что в ночь с 4 на 5 июля Роскомнадзор, Главный радиочастотный центр (ГРЧЦ, входит в структуру РКН), Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП), операторы связи и владельцы интернет-ресурсов в РФ проверили на учениях автономную работу рунета. Представитель РКН пояснил, что учения прошли успешно.

Два источника на телекоммуникационном рынке подтвердили РБК, что в ходе учений было выполнено «выключение международного интернета».

Представитель Роскомнадзора напомнил СМИ, что по закону об устойчивости рунета учения должны проводиться не реже одного раза в год. На вопрос о том, какие задачи преследовали организаторы учений, отключая международный сегмент интернета, в ведомстве не ответили.

Представители «Ростелекома», МТС, «МегаФона» и «ВымпелКома» (бренд «Билайн») отказались комментировать СМИ вопросы, связанные с учениями.

🥸 godnoTECH

Производство компьютеров и электроники в России в мае выросло на 31,5% год к году

Оборот организаций, занимающихся производством компьютеров, электронных и оптических изделий, в мае составил 167,4 миллиарда рублей – на 38,2% больше, чем в мае 2022 года.

🥸 godnoTECH

Представлен одноплатный ПК 5х5 см

MangoPi представила новый одноплатный мини-компьютер, размер которого составляет около 5х5 см. Он оснащен 64-разрядным процессором RISC-V ArtlnChip D213ECV, 124 МБ ОЗУ DDR3 (672 МГц) и 256 МБ флэш. А также 2 гигабитных Ethernet-порта Realtek RTL8211F, 2 порта USB-A 2.0, 1 порт USB-C (только для питания), 2 порта CAN 2.0, 2-контактный разъем RS485, 22-контактный разъем GPIO/UART/SPI/ADC, разъем FPC для дисплея MIPI-DSI и/или емкостного сенсорного экрана. Цена пока не сообщается.

🥸 godnoTECH

Вирус, который не трогает пользователей СНГ

Исследователи обнаружили яркого представителя CaaS-индустрии под названием Meduza Stealer. Это новый похититель информации под Windows, который распространяется по подписке (199 долларов за месяц или 1199 долларов за пожизненную лицензию).

Помимо сбора данных из 19 приложений для управления паролями, 76 криптокошельков, 95 веб-браузеров, Discord, Steam, системных метаданных, Meduza Stealer также собирает записи реестра Windows, а также список установленных игр, что указывает на более широкие финансовые мотивы киберпреступников.

Операционный дизайн Meduza исключает использование методов обфускации: вредонос быстро прекращает своё выполнение на скомпрометированных хостах в случае сбоя соединения с C2-сервером злоумышленника.

✅Кроме того Meduza Stealer прерывает свою работу на компьютерах из стран СНГ, что наталкивает на мысли о происхождении вредоноса.

🥸 godnoTECH

В мировой ИТ-сфере быстро растут масштабы увольнений по причине замены персонала искусственным интеллектом, пишет CNN.

Только в мае 2023 года работы по этой причине лишилось около 4000 айтишников. Компании меняют их на ИИ, чтобы экономить на зарплатах. По прогнозам экспертов, через пять лет необходимость в живых программистах существенно сократится.

🥸 godnoTECH

Во Франции разрешат удалённое подключение полиции к смартфонам подозреваемых в преступлении 👁

Национальное собрание Франции приняло в первом чтении поправки к законодательству, которые разрешают дистанционно включать микрофоны и камеры смартфонов подозреваемых для записи их разговоров и слежки. Этот проект также предусматривает получение данных о местоположении устройства 📍

По замыслу авторов документа, мера будет применяться в отношении подозреваемых в терроризме и для борьбы с организованной преступностью.

Защитники прав человека, обвинили правительство Франции в нарушении прав и свобод, однако это не помешало принятию законопроекта.

🥸 godnoTECH