🫥 0-day для WinRAR продают за $80 000

На одном из хакерских форумов всплыл якобы рабочий 0-day RCE-эксплойт для WinRAR — за него просят $80 000. По данным DarkEye, эксплойт затрагивает не только последнюю, но и более ранние версии архиватора, и не использует CVE-2025–6218, закрытую в июне.

Напомним, 24 июня вышла WinRAR 7.12, в которой устранили критическую уязвимость с CVSS 7.8: через специально собранный архив можно было запустить вредонос при извлечении — проблема затрагивала только Windows-версии. Но продавец уверяет, что его RCE — совсем другая история.

Если инфа подтвердится, это уже вторая серьёзная брешь в WinRAR за пару месяцев. Первая — обход защиты Mark of the Web (CVE-2025–31334), тоже давала возможность выполнить код через вложенные архивы. Её закрыли в апреле.

Пока RARLAB молчит, эксперты опасаются, что утечки с этим багом уже пошли в сеть.

🥸 godnoTECH - Новости IT

🤩 Минцифры платит до миллиона за баги в Госуслугах

Минцифры запускает третий этап программы багбаунти: за найденные уязвимости в госинформационных системах можно получить до 1 млн рублей. Сумма зависит от критичности найденной дыры. Безопасность будут проверять внешне, без доступа к внутренним данным.

Под ударом — сразу 9 ключевых систем, включая Госуслуги, ЕСИА, ЕБС, СМЭВ, НСУД и др. Участников ждёт контролируемый процесс тестирования, но при этом реальный шанс отбить пару айфонов… ну или хотя бы один.

В первых двух этапах участвовало более 26 000 энтузиастов, так что конкуренция нешуточная. Но и ставки теперь повыше.

👍 — Отличная мотивация
🤔 — Лучше бы просто сделали нормально
🙂 — За серьёзные баги — маловато

🥸 godnoTECH - Новости IT

😐 Американцы против TSMC

В США подали коллективный иск к TSMC — крупнейшему производителю чипов в мире. Экс-сотрудники утверждают: их выдавливали из компании ради мигрантов с Тайваня и из Китая, причём не только метафорически — жалобы включают крики, расизм, игнорирование техники безопасности и совещания на китайском.

По словам истцов, TSMC системно отдавала приоритет выходцам из Восточной Азии, вводила языковые барьеры, блокировала карьерный рост американцев и даже требовала знание мандаринского при найме. Один из HR-директоров якобы прямо заявил: «Потому что TSMC — азиатская компания».

И это не первый тревожный сигнал. В 2023-м сотрудники уже жаловались на армейский режим в аризонском офисе: 12-часовые смены, ночёвки на работе и дисциплина по уставу. Добавьте к этому обвинения в харассменте и расистских выходках — картина складывается некрасивая.

Ждём реакции самой TSMC — официальных комментариев пока нет.

🥸 godnoTECH - Новости IT

🤨Microsoft закрыла 137 дыр в безопасности

Во «вторник патчей» Microsoft залатала сразу 137 уязвимостей, включая 14 критических и одну нулевого дня — CVE-2025-49719 в SQL Server. Через неё можно было получить доступ к неинициализированной памяти сервера и вытащить данные без логина и пароля. Причина — некорректная валидация входных данных.

Больше всего багов касались повышения привилегий (53) и удалённого выполнения кода (41). Остальные — это обходы защиты, утечки данных, DoS и другие весёлые вещи. Из особо важных — ещё одна RCE в SharePoint (CVE-2025-49704), правда, для её эксплуатации уже нужна учётка.

Исправления вышли не для всех: патчи для Microsoft Office LTSC на Mac пока в пути. Edge и Mariner тоже обновлялись ранее, и в общий счёт не вошли. Так что если у вас где-то жив SQL Server или SharePoint — самое время проверить апдейты.

🥸 godnoTECH - Новости IT

😁 Суперкомпьютер «Говорун» стал умнее и холоднее

В Дубне провели апгрейд суперкомпьютера «Говорун» — в него добавили два кастомных узла «РСК Экзастрим ИИ» на базе 8× NVIDIA H100 с жидкостным охлаждением. Новый железный набор — полностью отечественной сборки, рассчитан под архитектуру «Говоруна» и добавил +36 % к FP64-производительности GPU-компоненты. Теперь в пике — до 2,2 Пфлопс.

Узлы укомплектованы процессорами Intel Xeon 8468, терабайтом ОЗУ и SSD на 16 Тбайт. Всё это соединено через NVLink, GPUDirect и питает 4× БП по 1,5 кВт. Для управления работает «РСК БазИС 4» — свой софт, который включён в реестр российского ПО.

Параллельно нарастили и СХД: добавили два узла RSC Tornado AFS по 1 Пбайт каждый, с поддержкой GPUDirect Storage. Новая СХД попала в мировой рейтинг IO500 — теперь «Говорун» умеет быстро не только считать, но и грузить.

🥸 godnoTECH - Новости IT

🤩 Windows 95 ожила на PlayStation 2, но без Doom и мышки

YouTube-блогер MetraByte сумел частично запустить Windows 95 на консоли Sony PlayStation 2. Через эмулятор Bochs и десятки часов танцев с бубном ему удалось загрузить систему и даже открыть Paint. Doom, увы, не завёлся. Да и мышку к PS2 подключить проблематично — так что покликать нормально не получилось.

Проект потребовал не только терпения, но и кастомной сборки: модифицированная PS2, QWERTY-контроллер, самодельная флешка и жёсткий диск с нужными образами. До этого MetraByte 47 (!) раз пытался запустить Windows через DOSBox, но стабильности добился только с Bochs. Всего путь от загрузки до рабочего экрана занял 14 часов.

🥸 godnoTECH - Новости IT

👹 Белым хакерам снова отказано

Госдума отклонила законопроект о легализации «белых» хакеров — инициативу, которая с 2022 года пыталась ввести в правовое поле формат bug bounty в России. Причина — неготовность законодательства и риски для безопасности, особенно если уязвимости передаются разработчикам из «недружественных» юрисдикций.

Комитет по госстроительству указал, что действующие законы о гостайне, безопасности КИИ и информации не позволяют внедрить такой формат без комплексных правок, включая уголовное право. Минцифры идею поддерживает, но говорит: сначала — правила, потом — законы.

Авторы инициативы обещают вернуться с новым пакетом предложений, который уже будет учитывать и формы поиска уязвимостей (открытую и закрытую), и идентификацию исследователей через «Госуслуги». Пока что — 0day для закона.

🥸 godnoTECH - Новости IT

🙂 Разработчику суперкомпьютера «Скиф» грозит штраф

Прокурор требует оштрафовать Сергея Абрамова — ведущего разработчика суперкомпьютеров «Скиф» — на 450 тысяч рублей. Его обвиняют в финансировании экстремистской деятельности. Речь идёт о перечислении средств Фонду борьбы с коррупцией (ФБК), который в России признан иноагентом, экстремистской организацией и ликвидирован.

Следствие шло более двух лет. За это время 66-летний учёный побывал в СИЗО, под домашним арестом, а также прошёл психиатрическую экспертизу, которая признала его вменяемым. Абрамов вину не признаёт. Оправдания добиваются его адвокаты.

Абрамов с 1986 года работал в ИПС РАН, возглавлял союзную программу «Скиф» по созданию российских и белорусских суперкомпьютеров, а в 2006-м получил госпремию в области науки и техники.

Суд вынесет приговор 11 июля. Пока что это дело остаётся закрытым — технических или финансовых деталей обвинения не раскрывают.

🥸 godnoTECH - Новости IT

😐 ИИ-рекрутер McDonald's слил данные 64 млн соискателей под паролем 123456

ИИ-бот Olivia, который McDonald's использует для найма сотрудников, оказался крайне доверчив. Данные 64 миллионов соискателей — включая ФИО, телефоны и e-mail — хранились в системе McHire под паролем 123456. Да, тем самым.

Уязвимость обнаружили независимые исследователи, просто решив проверить, насколько странный ИИ-рекрутер ещё и уязвим. Спойлер: через полчаса они уже смотрели заявки всех, кто пытался устроиться в McDonald's за последние годы.

Разработчик платформы, компания Paradox.ai, признала проблему, но уверяет, что «взлома не было», а доступ получили только сами исследователи. McDonald's винит подрядчика и требует от него соблюдения норм безопасности. Уязвимость закрыли в тот же день.

🥸 godnoTECH - Новости IT

😑 ИИ дымит — Google спорит с экологами из-за роста выбросов

Google обвинили в манипуляции отчётами по экологии. По данным НКО Kairos Fellowship, с 2010 по 2024 год углеродный след компании вырос на 1515 %, при этом Google продолжает заявлять о «прогрессе». Эксперты уверены: реальные выбросы маскируются под «зелёную» энергетику и расписываются так, чтобы выглядеть лучше.

В отчётах Google действительно есть снижение Scope 1 и 2 (прямые и покупные выбросы), но Scope 3, связанный с цепочкой поставок и стройкой дата-центров, вырос на 22 % за год. Это основная часть загрязнения — и она растёт вместе с внедрением ИИ.

Компания настаивает: всё честно, методика — по международному протоколу, данные проверяют независимые аудиторы. Критики же уверены, что за красивыми цифрами скрываются реальные проблемы, включая резкий рост энергопотребления и расход воды.

Google признаёт: ИИ действительно увеличил выбросы. Но обещает достичь нулевых выбросов к 2030 году.

😎 — Главное, чтобы YouTube не тормозил
🌚 — Генеративный ИИ теперь и CO₂ генерирует

🥸 godnoTECH - Новости IT

💸 Microsoft сэкономила $500 млн на ИИ... уволив 15 000 человек

Коммерческий директор Microsoft Джадсон Альтхофф раскрыл цифры: ИИ-инструменты сэкономили корпорации $500 млн только на колл-центрах за 2024 год. Но за кадром — волна сокращений: 15 000 сотрудников уволены с начала 2025, включая отделы продаж на прошлой неделе.

🤖 Как ИИ «оптимизировал» бизнес:
→ 35% кода новых продуктов генерирует ИИ (ускоряет релизы);
→ GitHub Copilot (15 млн пользователей) повысил прибыль продавцов на 9%;
→ ИИ-боты обслуживают малый бизнес, экономя «десятки миллионов».

Типичный 🥸 Сисадмин

😐 Гуманоид от Realbotix стал полиглотом

Американская Realbotix вывела своих гуманоидов на новый уровень: теперь робот говорит на 15 языках, понимает ещё 147 и умеет флиртовать. Всё это — благодаря облачной ИИ-системе и встроенной поддержке сторонних платформ.

Устройство легко адаптируется под задачи: в отеле встречает гостей, в клинике — собирает жалобы, в музее — проводит экскурсии. Сценарий поведения можно переключать как режим в браузере. Отпусков не берёт, кофе не пьёт, стрессоустойчивость — как у веб-сервера под Cloudflare.

Фокус — не просто реалистичная кожа и мимика, а попытка наладить настоящий контакт. Машина анализирует речь, эмоции и подбирает подходящее поведение. Особенно полезно там, где нужен многоязычный сервис без кадровой текучки.

Цена — от $20 000. По прогнозам, к 2035 году рынок гуманоидов вырастет до $243 млрд. Так что, возможно, скоро вам предложит кофе не бариста, а прототип с прошивкой 3.2.7 и встроенным Small Talk.

🔥 — Дайте двух
🤔 — Кто-то внедряет робота, а у нас лифт застревает

🥸 godnoTECH - Новости IT

🧛‍♂️ LPDDR6 официально утверждён — память под ИИ и не только

JEDEC утвердила стандарт LPDDR6. Он быстрее, энергоэффективнее и заточен под нагрузки ИИ, включая edge-компьютинг и мобильные устройства. Новый стандарт поддерживает 32/64-байтный доступ, улучшенную энергоэффективность и надёжность. Всё как надо: быстрее, умнее, холоднее.

Память получила два подканала на кристалл (по 12 DQ-линий на каждый), улучшенные сигналы команд и адреса, а ещё — «умный» NT-ODT, адаптирующий терминаторы под нагрузку. В целом — меньше контактов, больше пропускной способности.

В плане энергосбережения тоже апгрейд: LPDDR6 работает с пониженным напряжением VDD2, умеет динамически подстраиваться под нагрузку и поддерживает частичное обновление. Безопасность? Есть. ECC, MBIST, защита каналов и отдельные зоны памяти для критичных задач.

Участвуют все крупные игроки: Samsung, SK hynix, Micron, Qualcomm, MediaTek и другие. Производство — не за горами.

🥸 godnoTECH - Новости IT

👺 Фейковое расширение в VS Code обчистило криптокошелёк

Российский блокчейн-разработчик потерял $500 000 из-за поддельного расширения для работы с Solidity в Open VSX. Вместо подсветки кода плагин запускал PowerShell-скрипт и загружал на машину ScreenConnect — инструмент удалённого доступа. Через него шли Quasar и стилеры, вытаскивавшие данные из браузеров, почты и криптокошельков.

Расширение выглядело легитимно и даже обогнало оригинал в поиске — благодаря алгоритму ранжирования по активности и «свежести». Злоумышленники позже выложили вторую версию — с именем juanbIanco (с латинской I вместо l). За пару дней её скачали 2 миллиона раз. Оба вредоносных пакета уже удалили, но кто знает, сколько ещё сидит в выдаче.

Эксперты из «Лаборатории Касперского» напомнили: даже опытные разработчики не застрахованы от целевых атак. Бесплатные антивирусы — это хорошо, но против таких продуманных схем часто бессильны.

🥸 godnoTECH - Новости IT

😱 ЕС прописал гайд для ИИ-разработчиков

Евросоюз представил свод добровольных правил для компаний, работающих с искусственным интеллектом. Документ — это инструкция по выживанию в условиях нового закона об ИИ, который вступает в силу поэтапно и уже с августа затронет такие модели, как ChatGPT и Claude.

Согласно кодексу, разработчики должны документировать возможности ИИ и делиться этой инфой с регуляторами и партнёрами. Обучение моделей на пиратском контенте запрещено, а авторов — будь то художники или писатели — обязаны учитывать: не хочешь, чтобы ИИ учился на твоих работах — напиши об этом. За нарушение могут прилететь штрафы до 7% от годового оборота.

Alphabet и другие техгиганты уже жалуются: мол, бюрократия душит. А европейские компании вовсе просят отложить запуск закона на два года. Пока же регулирование будет на совести местных судов — и тут, как повезёт.

🥸 godnoTECH - Новости IT

👹 Почтовый клиент Evolution оказался шпионом

Evolution — старейший почтовый клиент в Linux, установленный по умолчанию в GNOME и доступный в российских дистрибутивах вроде Astra Linux. Теперь выяснилось, что он передаёт данные пользователей третьим лицам — даже если те выставили запрет на это в настройках.

Британский админ Майк Кардвелл выяснил: при открытии HTML-писем клиент автоматически делает DNS-запрос, если в письме прописан тег <link rel="dns-prefetch">. Это позволяет отправителю узнать, когда и откуда письмо было открыто. IP, город, провайдер — всё по классике. Настройки безопасности Evolution при этом игнорируются.

Разработчики ответили в стиле «это не баг, это WebKitGTK», и проблему устранять не стали. Обновлений тоже нет. Кардвелл рекомендует переходить на альтернативы. Например, Thunderbird.

💔 — Ну вот и до Linux добрались
🌚 — Всё равно слежка повсюду

🥸 godnoTECH - Новости IT

🤨 Призрачные фабрики Китая сожгли до $100 млрд и ушли в небытие

Китайские амбиции стать чиповой сверхдержавой влетели в копеечку. С начала 2020-х в стране разразилась эпидемия «фабрик-призраков» — заводов, которые получили многомиллиардные инвестиции, но либо не запустились, либо обанкротились. Иногда даже с исчезновением топ-менеджеров.

Один из крупнейших примеров — Hongxin Semiconductor (HSMC). Планировали делать чипы по 14 и 7 нм с литографией от ASML, получили $19 млрд и... всё. Завод недостроен, деньги испарились. У дочки проекта, QXIC, история не лучше: ни строительства, ни производства, только громкие заявления.

Всего провалилось более 10 крупных проектов на сумму до $100 млрд. Причины — от банального отсутствия опыта и кадров до санкций США, которые перекрыли доступ к продвинутому оборудованию. Некоторые стартапы пытались прыгнуть сразу в 7 нм, не имея даже базовой инфраструктуры. Вышло предсказуемо.

👍 — Они пытались
🌚 — Кто-то неплохо нагрел руки на этих «провалах»

🥸 godnoTECH - Новости IT

👺 Новые уязвимости TSA в процессорах AMD

Исследователи Microsoft и ETH Zurich нашли в процессорах AMD уязвимости нового класса — TSA (Transient Scheduler Attack). Они работают по принципу, схожему с Meltdown и Spectre, и могут привести к утечке данных из ядра ОС, приложений и виртуалок.

TSA включает четыре уязвимости. Две из них — средней степени опасности, две — низкой. AMD заявила, что атаки требуют запуска кода на машине жертвы (через вредонос ПО или виртуалку) и невозможны через сайты. Но атака работает даже при низких привилегиях, а Trend Micro и CrowdStrike называют её критической.

Задействуются механизмы спекулятивного исполнения: чип «думает», что данные загружены, а на деле — нет. Варианты TSA делятся на TSA-SQ (утечка через Store Queue) и TSA-L1 (через кеш L1). Атаки могут привести к считыванию данных из ядра и обходу защиты.

Уязвимости затрагивают Zen 3 и Zen 4: все Ryzen 5000–8000, EPYC Milan, Genoa, Threadripper PRO 7000 и другие. AMD уже готовит патчи прошивок и микрокода.

😎 — У меня Intel
🌚 — Ryzen, говорили они, бери — не пожалеешь

🥸 godnoTECH - Новости IT

😐 ИИ для программистов пока тормозит, а не ускоряет

METR провели эксперимент: 16 опытных разработчиков открытого ПО решили 246 реальных задач — часть с ИИ (GitHub Copilot, Cursor Pro), часть без. Вопреки ожиданиям, ИИ не сэкономил время, а наоборот: в среднем задачи с помощниками выполнялись на 19 % дольше.

Хотя участники надеялись ускориться на 24 %, выяснилось, что написание промптов и ожидание ответа от ИИ — медленнее, чем писать руками. Особенно тяжко было, когда задача требовала работы с большим и сложным кодом. Перед тестом всех обучили работе с ИИ, так что «новичковый эффект» исключили.

METR не делают жёстких выводов — возможно, ИИ станет быстрее в ближайшие месяцы.

🤔 — Мне помогает
🤷 — Сам быстрее справлюсь

🥸 godnoTECH - Новости IT

😈 В Китае признали риск боевых гуманоидов

PLA Daily — официальное издание армии Китая — предупредило: гуманоидные роботы могут начать убивать без приказа и без разбора. Их массовое применение в военных операциях требует срочной оценки с точки зрения этики и международного права.

Авторы статьи подчёркивают: такие машины уже нарушают первый закон робототехники Азимова — причиняют вред человеку. Поэтому подход к их регулированию должен быть переосмыслен. Три новых принципа — подчинение, уважение и защита человека — предлагаются как основа для будущего контроля.

Сами роботы уже могут принимать боевые решения автономно, имеют руки, маневренны и выполняют сложные задачи — от разминирования до эвакуации. Но у них пока низкая скорость, высокая цена и слабая адаптация к реальной среде. Военные эксперты считают, что их нужно не запрещать, а жёстко регулировать до массового внедрения.

👍 — Лучше поздно, чем никогда
💔 — Не думал что доживу до этого

🥸 godnoTECH - Новости IT

🤩 Роботы двигаются по команде из головы

Учёные из ННГУ им. Лобачевского создали систему, которая позволяет управлять роботами силой мысли — и всё это на полностью отечественной электронике. Никаких импортных чипов, даже Wi-Fi наш.

В основе — мемристоры, компоненты, которые «помнят» прошлые сигналы. Пользователь просто представляет движение — сигнал считывается через ЭЭГ-шлем, обрабатывается на мини-плате и передаётся роботу. При этом можно в реальном времени корректировать команду. Например, поменять траекторию, просто передумав.

Мемристоры оказались удачным решением — не требуют больших вычислительных мощностей и легко встраиваются в компактные устройства. Разработку планируют применять в медицине: для управления протезами, экзоскелетами и другими помощниками.

🥸 godnoTECH - Новости IT