👌 Chrome закрывает 23-летнюю дыру: как цвет ссылок сливал вашу историю просмотров

Google наконец-то исправляет в Chrome 136 уязвимость, которая 23 года позволяла сайтам подсматривать, какие страницы вы посещали.

❓ Как это работало?
— CSS-ловушка: сайты использовали псевдокласс :visited, чтобы менять цвет посещённых ссылок.
— JS-шпион: скрипт через window.getComputedStyle проверял цвет и узнавал, бывали ли вы на сайте.
— Фиолетовый = компромат: если ссылка окрашивалась в #551A8B — вы «засветились».

🛡 Chrome 136 решил проблему кардинально — разделил историю на секции. История посещений теперь привязана к:
— URL ссылки;
— Домену сайта;
— Источнику фрейма.

🥸 godnoTECH - Новости IT

🧐 Помните недавнюю массовую атаку на GitHub Actions через «tj-actions/changed-files», затронувшую тысячи репозиториев?

Новейшее расследование Unit 42 вскрыло всю подноготную. Оказывается, атака была целевой, направленной на Coinbase, и началась гораздо раньше – с утечки PAT из SpotBugs еще в ноябре 2024. Массовый слив секретов в логи был, похоже, уже «планом Б».

🔑 Ключевые этапы атаки:

1. Утечка PAT (Ноябрь/Декабрь 2024): Мейнтейнер SpotBugs добавил свой PAT в workflow. Атакующий через PR и триггер «pull_request_target» слил этот токен.
2. Доступ к SpotBugs (Март 2025): Украденным PAT атакующий добавил фейкового юзера «jurkaofavak» мейнтейнером в «spotbugs/spotbugs».
3. Утечка токена Reviewdog: «jurkaofavak» запушил вредоносный workflow, который слил PAT мейнтейнера Reviewdog.
4. Компрометация Reviewdog: Этим PAT атакующий перезаписал тег «v1» в «reviewdog/action-setup» на вредоносный коммит из удаленного форка.
5. Компрометация tj-actions: CI «tj-actions/changed-files» выполнил код из Reviewdog, что привело к краже «GITHUB_TOKEN» с правом записи в «tj-actions».

✏️ План атаки на Coinbase:

План атакующего в отношении Coinbase, скорее всего, заключался в использовании скомпрометированного CI/CD пайплайна репозитория «coinbase/agentkit» как точки входа для кражи критически важных секретов (API-ключей, токенов доступа, учетных данных). Эти секреты могли быть использованы либо для внедрения вредоносного кода в сам «agentkit» (фреймворк для ончейн-действий, что открывало бы путь к атакам на пользователей или манипуляциям транзакциями), либо для латерального движения внутрь корпоративной инфраструктуры Coinbase с целью доступа к базам данных, кошелькам или другим ключевым системам, либо как минимум для сбора ценной разведывательной информации о внутренней архитектуре и системах безопасности биржи для будущих атак.

Coinbase оперативно обнаружила и пресекла целевую атаку, удалив уязвимый workflow. Только после этого атакующий, используя все тот же украденный токен с правом записи в «tj-actions», перезаписал все теги на финальный коммит, который просто сливал все секреты в логи сборки, сделав атаку публичной и «шумной».

Атака демонстрирует высокий уровень подготовки: использование уязвимости «pull_request_target», латеральное движение через общие токены мейнтейнеров, активное применение одноразовых аккаунтов и форков для сокрытия вредоносных коммитов («dangling commits»), перезапись Git-тегов (что плохо логируется в бесплатных версиях GitHub) и переход от скрытной целевой атаки к массовой и «шумной».

Целевая атака на крупную криптобиржу через supply chain чуть не удалась. Безопасность CI/CD, управление секретами и мониторинг зависимостей – наше всё! 😎

🥸 godnoTECH - Новости IT

✋ UK vs Apple: суд отказал в полной секретности дела о «бэкдоре»

Попытка Home Office (UK) засекретить судебное разбирательство с Apple по поводу Technical Capability Notice (TCN) провалилась. Investigatory Powers Tribunal (IPT) постановил, что базовые детали дела (сам факт спора) должны быть публичными, несмотря на доводы о нацбезопасности.

❓ Что произошло до этого?
— Власти UK, используя закон `` Investigatory Powers Act 2016 `` (Snooper's Charter), тайно потребовали от Apple предоставить технические возможности (вероятно, ослабить шифрование или создать "бэкдор") через приказ TCN. Apple отказалась и подала в суд.
— Правительство попыталось засекретить даже сам факт этого судебного спора, ссылаясь на нацбезопасность.
— Сегодняшнее решение суда – отказать в полной секретности.

Хотя детали самого TCN и аргументов сторон, вероятно, останутся тайной, сам факт противостояния Apple требованиям властей UK теперь официально подтвержден.

Правительство хотело тихий бэкдор, а получило публичное разбирательство. Классика. 🤦‍♂️

🥸 godnoTECH - Новости IT

🤯 В Госдуме хотят ужесточить наказание за преступления с искусственным интеллектом

Депутаты предлагают приравнять использование ИИ к отягчающим обстоятельствам. Теперь нейросети могут не только генерировать мемы, но и «помочь» сесть на несколько лет дольше.

Законопроект предлагает «Справедливая Россия»: Сергей Миронов и компания хотят поправить ст. 63 УК РФ.

✏️ Статистика:
— Ущерб от IT-преступлений — 200+ млрд рублей;
— 25% жертв — пенсионеры;
— Раскрываемость упала до 23%.

🥸 godnoTECH - Новости IT

😐 WhatsApp Desktop для Windows: осторожно, JPEG может оказаться EXE!

Уязвимость (CVE-2025-30401) в WhatsApp Desktop для Windows (версии до 2.2450.6) позволяет выполнить произвольный код через поддельное вложение. Проблема кроется в обработке MIME-типов и расширений файлов.

🚩 Как работает:

WhatsApp отображает превью вложения на основе его MIME-типа (например, image/jpeg). Однако, когда пользователь кликает для открытия файла, приложение передает его системе на основе расширения имени файла (например, .exe

То есть: атакующий может создать файл картинка.jpeg.exe, указать для него MIME-тип image/jpeg, и отправить жертве. Пользователь увидит превью картинки, кликнет, но вместо просмотра изображения запустит исполняемый файл.

❗️ Требуется взаимодействие с пользователем – жертва должна сама кликнуть на вредоносное вложение. Учитывая доверчивость многих пользователей ("прислали же в WhatsApp, значит, безопасно"), особенно в групповых чатах, это вполне реальный вектор атаки.

Последствия печальны: Выполнение произвольного кода, кража данных, установка вредоносов, компрометация аккаунта. Баг пофикшен в версии 2.2450.6 или выше.

Никогда не доверяй MIME-типу больше, чем расширению файла. Особенно если его прислали в WhatsApp.

🙏 — Обновлю себе и бабуле
😢 — Лучший антивирус — отсутствие друзей
🌚 — Давно попрощался с WhatsApp

🥸 godnoTECH - Новости IT

😱 Google добавил в Таблицы нейросеть Gemini

Как включить:

1. В левом меню нажмите: Меню → Generative AI → Gemini for Workspace.
(Если не видите этот раздел — проверьте, есть ли у вас нужные права: “Gmail > Settings”.)

2. Нажмите на панель Alpha features (Функции альфа-версии).

3. Включите Alpha-функции.

🥸 godnoTECH - Новости IT

📉 Капитализация Intel рухнула до минимума за 16 лет

Акции Intel обвалились до $18.13 — худший показатель с июля 2009 года. Инвесторы выводят средства на фоне технологических провалов и новых пошлин Трампа.

❓ Что происходит?
— Обвал акций: -7.36% за день, -50% за год;
— Причины:
- Провалы в производстве (задержки 10nm/7nm);
- Рекордное падение спроса на процессоры;
- Угроза новых импортных пошлин 20% на электронику в США;
— Эффект домино: AMD (-6.5%), Qorvo (-9.9%), Micron (-4.1%) тоже в красной зоне.

Если Intel не выкарабкается — монополия TSMC и AMD усилится.

🥸 godnoTECH - Новости IT

👀 Новая угроза для владельцев свежих AMD Ryzen и EPYC: уязвимость в микрокоде позволяет злоумышленникам с правами ядра запускать произвольный код. Под ударом — даже топовые Zen 5!

В прошлом месяце в системе безопасности в процессорах AMD от Zen 1 до Zen 4 нашли уязвимость «EntrySign». Обнаружилось, что она касается и Zen 5 во всех его версиях.

⚠️ Уязвимость использует неправильную проверку подписи в загрузчике микрокода AMD, что позволяет третьим лицам выполнять произвольный микрокод на вашем процессоре.

AMD уже выпустила обновление прошивки ComboAM5PI 1.2.0.3c AGESA для производителей материнских плат в качестве исправления.

🥸 godnoTECH - Новости IT

👶 14-летний подросток создал приложение, которое диагностирует заболевания сердца за 7 секунд

Сиддхарт Надьяла, живущий в Далласе, стал самым молодым сертифицированным специалистом по ИИ. Его программу протестировали на ~15.000 людях, и результаты оказались верными в 96% случаях.

Приложение Circadian AI использует искусственный интеллект для выявления заболеваний сердца с помощью простых записей сердечного ритма.

👍 — Респект
🌚 — Я в его возрасте еще мультики смотрел

🥸 godnoTECH - Новости IT

🕵️‍♂️ Илон Маск ищет недовольных Трампом с помошью ИИ

Представители администрации Трампа сообщили некоторым сотрудникам, что команда технологов Илона Маска использует ИИ для отслеживания сообщений по крайней мере одного федерального агентства.

Проект DOGE под руководством Илона Маска использует ИИ Grok для мониторинга коммуникаций госслужащих. Цель — выявление критиков Трампа и собственной команды.

Привет, 1984.

🥸 godnoTECH - Новости IT

🤔 Гонка ИИ-чипов набирает обороты: Google анонсировала Ironwood — свой самый мощный TPU 7-го поколения, оптимизированный исключительно для инференса (работы с готовыми ИИ-моделями).

Технические характеристики:

- Производительность: до 4,614 TFLOPS на кластере
- Память: 192GB HBM на чип с пропускной способностью 7.4 Tbps
- Конфигурации:
- Компактная: 256 чипов
- Суперкластер: 9,216 чипов (для экстремальных нагрузок)
- Энергоэффективность: Улучшенная архитектура сокращает перемещение данных

Ключевая фишка — SparseCore, специализированный блок для рекомендательных систем (например, подбор товаров в маркетплейсах) 🛍

🥸 godnoTECH - Новости IT

🐶 Илон Маск уничтожил тысячи носителей с правительственными архивами. Он посчитал их устаревшими

Департамент DOGE, у руля которого стоит Илон Маск, уничтожил 14 тыс. магнитных лент в Администрации общих служб США. Их замена позволит экономить $1 млн в год.

❗️Ленточные накопители остаются в фаворе по нескольким причинам. Наиболее важные из них:
- высокая вместительность, измеряемая десятками терабайтов.
- внушительная карта развития технологии, расписанная на ближайшие несколько десятков лет.
- низкое энергопотребление.

Было бы очень интересно узнать, какая система хранения данных и носители были выбраны для замены ленточной системы GSA, но эти подробности не сообщаются.

👍 — Будущее всё равно за цифрой
🗿 — Маск заигрался

🥸 godnoTECH - Новости IT