Вся соль кроется в использовании технологии CXL (Compute Express Link), которая позволяет подключать память не напрямую к контроллеру процессора, а через шину PCIe.
Компания Marvell уже показала рабочее решение, которое позволяет использовать модули DDR4 в качестве CXL-памяти для современных серверов. Для операционной системы это выглядит прозрачно... просто в системе появляется дополнительный объем RAM. Да, такая память работает медленнее родной DDR5 и добавляет задержки (примерно как при обращении к соседнему NUMA-узлу), но это всё равно на порядки быстрее, чем любой, даже самый быстрый NVMe SSD.
Это открывает дорогу к массовому внедрению иерархической памяти, когда самые горячие и критичные данные живут в быстрой DDR5, подключенной напрямую к CPU, а всё, что ненужно, операционная система или гипервизор скидывают в CXL-пул, набранный из дешевой DDR4. В итоге гиперскейлеры убивают двух зайцев... обходят дефицит поставок и утилизируют запасы памяти предыдущего поколения, снижая общую стоимость владения инфраструктурой.
Скоро в энтерпрайзе станет нормой собирать сервера из всего, что нашлось на складе. Так и до DDR3 докатимся
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🌭64🌚25😁21❤13👍7🔥3😭3🎄1
Forwarded from IT-Мемасы от Эникея
Нашел в дальнем шкафу бати жесткий диск...
Ожидание: wallet.dat с 5000 биткоинов с 2011 года.
Реальность: Коллекция фильмов в формате .avi
@itmemas
Ожидание: wallet.dat с 5000 биткоинов с 2011 года.
Реальность: Коллекция фильмов в формате .avi
@itmemas
😁162❤12🤷♂9🎄2🔥1😭1
Forwarded from godnoTECH - Новости IT
Пользователь zoicware выложил инструмент RemoveWindowsAI, который удаляет навязчивые нейросетевые функции из системы. Под нож попадают Copilot, Recall и другие интеллектуальные надстройки, которые Microsoft активно внедряет для превращения платформы в «агентскую» ОС.
Полностью автоматизировать процесс не вышло, поэтому Gaming Copilot и OneDrive AI придется отключать вручную по приложенному гайду. Утилита пока не трогает только скрытые функции из тестовых сборок, но для стабильной версии этого набора хватит, чтобы освободить ресурсы и снизить градус слежки.
Майкрософт добавляет фичи, а энтузиасты пишут скрипты для их удаления, всё как обычно.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍105✍18❤5🤷♂3🔥2🎄2🎉1
🚨 Google экстренно патчит 0-day в Chrome, у которой даже нет CVE-идентификатора
Разработчики Chrome выкатили экстренное обновление стабильной ветки для десктопов, и, судя по всему, дело пахнет керосином. В релиз вошли исправления безопасности, среди которых выделяются баги, для которых уже существуют эксплойты. Google не раскрывает деталей атаки, пока большинство пользователей не обновится.
Проблема, вероятнее всего, снова кроется в движке V8 или компонентах рендеринга, так как именно там чаще всего всплывают ошибки типа Use-After-Free, позволяющие удаленное выполнение кода. Это означает, что злоумышленникам достаточно заманить юзера на специально подготовленную страницу, чтобы пробить защиту браузера и закрепиться в системе.
В работе с пользователями предстоит веселый квест, ведь нужно не просто накатить новую версию, но и заставить пользователей ребутнуть браузер😶
Типичный🥸 Сисадмин
Разработчики Chrome выкатили экстренное обновление стабильной ветки для десктопов, и, судя по всему, дело пахнет керосином. В релиз вошли исправления безопасности, среди которых выделяются баги, для которых уже существуют эксплойты. Google не раскрывает деталей атаки, пока большинство пользователей не обновится.
Проблема, вероятнее всего, снова кроется в движке V8 или компонентах рендеринга, так как именно там чаще всего всплывают ошибки типа Use-After-Free, позволяющие удаленное выполнение кода. Это означает, что злоумышленникам достаточно заманить юзера на специально подготовленную страницу, чтобы пробить защиту браузера и закрепиться в системе.
В работе с пользователями предстоит веселый квест, ведь нужно не просто накатить новую версию, но и заставить пользователей ребутнуть браузер
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
✍38❤10
Please open Telegram to view this post
VIEW IN TELEGRAM
😁154🔥8👍4🌚3🤨2
Forwarded from IT-Мемасы от Эникея
This media is not supported in your browser
VIEW IN TELEGRAM
Раньше можно было создать нативное приложение с графическим интерфейсом всего за 10 секунд. Никакого Electron, никаких игровых движков, никаких веб-фреймворков. Просто быстрый .EXE-файл, создаваемый за секунды. Работает на любом компьютере с Windows БЕЗ подключения к Интернету. Разработка программного обеспечения движется в обратном направлении 😭
@itmemas
@itmemas
😭141💯58🫡18🔥6❤5
Сага с дырявым серверным рендерингом, о которой писал ранее, получила продолжение. Безопасники из Vercel вынуждены были признать что первоначальный фикс критической уязвимости был неполным
Наиболее опасный CVE-2025-55184 с высоким рейтингом критичности. Суть проблемы кроется в механизме десериализации данных в App Router. Хацкер может отправить специально сформированный HTTP-запрос на любой эндпоинт приложения, заставив серверный процесс уйти в бесконечный цикл или потребить аномальное количество ресурсов. В результате node процесс виснет намертво, CPU улетает на 100%, и сервис полностью ложится. Для этого даже не нужна аутентификация, просто кривой пакет, который парсер не может нормально переварить.
Второй сюрприз под номером CVE-2025-55183 выглядит не так страшно, но бьет по приватности. Уязвимость позволяет через манипуляции с запросами вытащить скомпилированный исходный код Server Actions. Удаленного выполнения кода это не дает, но раскрывает всю внутреннюю бизнес-логику бэкенда. Если ваши разработчики любят хардкодить API-ключи или токены прямо в теле функций (а все мы знаем, что они это любят
Под раздачу попали практически все современные версии пакетов
react-server-dom-parcel, react-server-dom-webpack и react-server-dom-turbopack ветки 19.x. Это значит, что уязвимы проекты на Next.js начиная с версии 13 и заканчивая свежайшей 15-й. Единственный способ закрыть дыру - обновлять сам фреймворк до патч-версий (например, 14.2.20 или 15.0.4), где переписали логику валидации входных данных.Фреймворки стали настолько сложными, что даже их создатели не могут с первого раза залатать дыру в логике. Стабильность, которую мы заслужили
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😁38😱13👍3😭2❤1🔥1👏1
🎌 Итоги саммита мейнтейнеров ядра Linux в Токио
Главное событие года для тех, кто решает, каким будет Linux, прошло в Японии. Теперь Rust в ядре больше не эксперимент. Мейнтейнеры официально сняли с него плашку experimental. Отныне это полноценная часть ядра, нравится это староверам или нет. Драмы про (C vs Rust) утихают. Если раньше драйверы на Rust были диковинкой, то теперь это новый стандарт, к которому придется привыкать всем, кто хочет писать код для современного железа.
Отдельно прошлись по теме ИИ. Торвальдс, который обычно скептичен к хайпу, внезапно пояснил, что он большой фанат использования нейросетей... но только чтобы ИИ разгребал тонны спама в списках рассылки и находил глупые баги еще до того, как они попадут на глаза человеку. Писать код за разработчиков роботам пока не доверят😬
В целом, саммит показал, что ядро взрослеет (или стареет, судя по седине участников). Фокус смещается с добавления фич на стабильность и борьбу с выгоранием мейнтейнеров, которых катастрофически не хватает.
Типичный🥸 Сисадмин
Главное событие года для тех, кто решает, каким будет Linux, прошло в Японии. Теперь Rust в ядре больше не эксперимент. Мейнтейнеры официально сняли с него плашку experimental. Отныне это полноценная часть ядра, нравится это староверам или нет. Драмы про (C vs Rust) утихают. Если раньше драйверы на Rust были диковинкой, то теперь это новый стандарт, к которому придется привыкать всем, кто хочет писать код для современного железа.
Отдельно прошлись по теме ИИ. Торвальдс, который обычно скептичен к хайпу, внезапно пояснил, что он большой фанат использования нейросетей... но только чтобы ИИ разгребал тонны спама в списках рассылки и находил глупые баги еще до того, как они попадут на глаза человеку. Писать код за разработчиков роботам пока не доверят
В целом, саммит показал, что ядро взрослеет (или стареет, судя по седине участников). Фокус смещается с добавления фич на стабильность и борьбу с выгоранием мейнтейнеров, которых катастрофически не хватает.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
❤65🔥9😱3🎉2😭1
Запущен фонд поддержки разработки эксплойтов для старого железа 🏴☠️
Организация Fulu (Freedom from Unethical Limitations on Users), основанная активистами движения за право ремонта (даже такое есть😮 ), запустила программу грантов, в рамках которой они будут официально платить энтузиастам и реверс-инженерам за взлом заблокированных устройств. Речь идет о девасах, которые превратились в электронный мусор не из-за поломки, а из-за программных ограничений... потерянных паролей, неотвязанных аккаунтов или (что важнее) отключения серверов активации производителем.
Поводом стал момент с термостатами Nest первых поколений. После прекращения поддержки Google они превратились в умные кирпичи на стене. Fulu предложила $10 000 за способ вернуть им функциональность, и в итоге выплату получили двое независимых исследователей, представивших рабочие методы обхода блокировок.
Техническая задача перед участниками стоит нетривиальная. Им нужно не просто найти уязвимость, а создать надежные инструменты для обхода и разблокировки загрузчиков. В ход идет весь арсенал от поиска аппаратных бэкдоров и дампинга памяти до фаззинга интерфейсов ввода и эксплуатации уязвимостей в Secure Boot. Главное дать возможность накатить на старое железо альтернативную прошивку, минуя цифровую подпись вендора, которая сейчас отправляет миллионы рабочих девайсов на свалку.
Корпорации вроде Apple и Samsung годами прикрывают эту практику заботой о безопасности и борьбой с кражами. Однако инициаторы проекта справедливо указывают, что когда вендор прекращает поддержку устройства или оно попадает в переработку, защита превращается в средство запланированного устаревания. Создание легальных, общедоступных эксплойтов должно разорвать этот порочный круг, превратив кирпичи обратно в полезное железо.
Для админов и гиков это открывает интересные перспективы. Если программа взлетит, то умельцы могут заработать немного шекелей, а мы можем получить поток дешевых и мощных устройств (бывших флагманов), которые можно будет перепрошить под свои задачи. Жаль только, что производители скорее удавятся, чем отдадут ключи шифрования добровольно, так что вся надежда на парней с паяльниками и декомпиляторами🤙
Типичный🥸 Сисадмин
Организация Fulu (Freedom from Unethical Limitations on Users), основанная активистами движения за право ремонта (даже такое есть
Поводом стал момент с термостатами Nest первых поколений. После прекращения поддержки Google они превратились в умные кирпичи на стене. Fulu предложила $10 000 за способ вернуть им функциональность, и в итоге выплату получили двое независимых исследователей, представивших рабочие методы обхода блокировок.
Техническая задача перед участниками стоит нетривиальная. Им нужно не просто найти уязвимость, а создать надежные инструменты для обхода и разблокировки загрузчиков. В ход идет весь арсенал от поиска аппаратных бэкдоров и дампинга памяти до фаззинга интерфейсов ввода и эксплуатации уязвимостей в Secure Boot. Главное дать возможность накатить на старое железо альтернативную прошивку, минуя цифровую подпись вендора, которая сейчас отправляет миллионы рабочих девайсов на свалку.
Корпорации вроде Apple и Samsung годами прикрывают эту практику заботой о безопасности и борьбой с кражами. Однако инициаторы проекта справедливо указывают, что когда вендор прекращает поддержку устройства или оно попадает в переработку, защита превращается в средство запланированного устаревания. Создание легальных, общедоступных эксплойтов должно разорвать этот порочный круг, превратив кирпичи обратно в полезное железо.
Для админов и гиков это открывает интересные перспективы. Если программа взлетит, то умельцы могут заработать немного шекелей, а мы можем получить поток дешевых и мощных устройств (бывших флагманов), которые можно будет перепрошить под свои задачи. Жаль только, что производители скорее удавятся, чем отдадут ключи шифрования добровольно, так что вся надежда на парней с паяльниками и декомпиляторами
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥115👍27❤13🌚3🎉1🫡1
🔑 Как хацкеры забыли отключить дебаг в продакшене
На просторах даркнета всплыл перспективный стартап в сфере шифровальщиков. Группировка запустила RaaS-платформу, где весь бизнес-процесс от генерации пейлоадов до выбивания денег... построен через ботов в ТГ. Входной порог низкий, малварь написана на модном Go и умеет шифровать как Windows, так и Linux. Казалось бы, идеальный инструмент, но есть нюанс...😮
При анализе сэмплов исследователи безопасности выпали в осадок. Авторы малвари допустили ошибку уровня лабораторной работы первокурсника. Мастер-ключ для шифрования (используется AES-256 GCM) не генерируется уникально, а жестко зашит в бинарник. Но это полбеды. В пылу отладки кодеры забыли выпилить функцию, которая сохраняет этот самый ключ в открытом текстовом файле прямо в системную папку
Получается, если вы поймали эту конкретную заразу, платить выкуп не нужно, достаточно просто заглянуть во временные файлы. Релизная ли это спешка или деградация современного андерграунда? Впрочем, баг скорее всего уже пофиксили, но проблема в другом... C2-серверы переезжают в публичные API телеги.
Типичный🥸 Сисадмин
На просторах даркнета всплыл перспективный стартап в сфере шифровальщиков. Группировка запустила RaaS-платформу, где весь бизнес-процесс от генерации пейлоадов до выбивания денег... построен через ботов в ТГ. Входной порог низкий, малварь написана на модном Go и умеет шифровать как Windows, так и Linux. Казалось бы, идеальный инструмент, но есть нюанс...
При анализе сэмплов исследователи безопасности выпали в осадок. Авторы малвари допустили ошибку уровня лабораторной работы первокурсника. Мастер-ключ для шифрования (используется AES-256 GCM) не генерируется уникально, а жестко зашит в бинарник. Но это полбеды. В пылу отладки кодеры забыли выпилить функцию, которая сохраняет этот самый ключ в открытом текстовом файле прямо в системную папку
%TEMP% на машине жертвы.Получается, если вы поймали эту конкретную заразу, платить выкуп не нужно, достаточно просто заглянуть во временные файлы. Релизная ли это спешка или деградация современного андерграунда? Впрочем, баг скорее всего уже пофиксили, но проблема в другом... C2-серверы переезжают в публичные API телеги.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😁75😱7❤6🍌4🎉1
Forwarded from DevOps MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
❤74💯24👀10⚡3🔥2
Сотруднику забыли закрыть доступ к внутренним системам, из-за чего в сеть утекло около двух третей населения Южной Кореи 😅
Пока индустрия судорожно внедряет Zero Trust, обмазывается эвристикой в EDR и сливает бюджеты на пентесты, южнокорейский Coupang (типа как Ozon и тд.) преподал всем болезненный урок классической ИБ. Утечку 33,7 млн записей спровоцировал бывший сотрудник, чьи учетные данные просто забыли отключить при увольнении. Компания утверждает, что данные (имена, адреса, история заказов) не появились в открытом доступе, однако это не остановило волну фишинга, и полиция уже получила сотни сообщений о мошенниках.
Человек покинул компанию, сдал бейдж и ноутбук, но, судя по всему, сохранил валидные креды к критическим эндпоинтам или API-ключам, которые, вероятно, не ротировались годами. Это типичный пример зомби-доступа, когда привилегии переживают своего владельца, превращая легитимного пользователя в невидимую угрозу. Система DLP, конечно, могла бы триггернуться на аномальную выгрузку данных, но, как это часто бывает, алерты либо утонули в шуме логов, либо доступ считался доверенным по старой памяти.
Разумно иногда проверять скрипты автоматического депровижининга и актуальность списков доступа, пока ваш бывший коллега не решил проверить, работают ли еще его ключи от продакшена, просто ради интереса или мелкой мести.
Типичный🥸 Сисадмин
Пока индустрия судорожно внедряет Zero Trust, обмазывается эвристикой в EDR и сливает бюджеты на пентесты, южнокорейский Coupang (типа как Ozon и тд.) преподал всем болезненный урок классической ИБ. Утечку 33,7 млн записей спровоцировал бывший сотрудник, чьи учетные данные просто забыли отключить при увольнении. Компания утверждает, что данные (имена, адреса, история заказов) не появились в открытом доступе, однако это не остановило волну фишинга, и полиция уже получила сотни сообщений о мошенниках.
Человек покинул компанию, сдал бейдж и ноутбук, но, судя по всему, сохранил валидные креды к критическим эндпоинтам или API-ключам, которые, вероятно, не ротировались годами. Это типичный пример зомби-доступа, когда привилегии переживают своего владельца, превращая легитимного пользователя в невидимую угрозу. Система DLP, конечно, могла бы триггернуться на аномальную выгрузку данных, но, как это часто бывает, алерты либо утонули в шуме логов, либо доступ считался доверенным по старой памяти.
Разумно иногда проверять скрипты автоматического депровижининга и актуальность списков доступа, пока ваш бывший коллега не решил проверить, работают ли еще его ключи от продакшена, просто ради интереса или мелкой мести.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
✍50😁12❤8
Открытый перелом файловой системы со смещением таблицы разделов. Требуется срочная операция по вправлению суперблока.
#предложка
Типичный🏥 Сисадмин
#предложка
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥64😁52😭8❤3🌭1