В спецификации PCIe нашли три уязвимости
Исследователи Intel обнаружили три бреши в протоколе PCIe IDE, который отвечает за шифрование и проверку целостности данных между компонентами. Проблемы затрагивают спецификацию PCIe 5.0 и выше, но для эксплуатации требуется физический доступ к железу, поэтому угроза оценена как низкая — 1,8–3,0 балла по CVSS.
Суть багов в некорректной обработке порядка пакетов и таймаутов, что позволяет подменить или переупорядочить трафик между PCIe-устройствами. Среди подтверждённо уязвимых продуктов — Intel Xeon 6 с P-ядрами и AMD EPYC 9005. Nvidia, Dell и ряд других вендоров заявили, что их железо не затронуто. Исправления уже разосланы производителям, обновления ожидаются в ближайшее время.
Хорошая новость — хакеру придётся буквально залезть внутрь сервера. Плохая — в дата-центрах бывают и не такие гости.
Исследователи Intel обнаружили три бреши в протоколе PCIe IDE, который отвечает за шифрование и проверку целостности данных между компонентами. Проблемы затрагивают спецификацию PCIe 5.0 и выше, но для эксплуатации требуется физический доступ к железу, поэтому угроза оценена как низкая — 1,8–3,0 балла по CVSS.
Суть багов в некорректной обработке порядка пакетов и таймаутов, что позволяет подменить или переупорядочить трафик между PCIe-устройствами. Среди подтверждённо уязвимых продуктов — Intel Xeon 6 с P-ядрами и AMD EPYC 9005. Nvidia, Dell и ряд других вендоров заявили, что их железо не затронуто. Исправления уже разосланы производителям, обновления ожидаются в ближайшее время.
Хорошая новость — хакеру придётся буквально залезть внутрь сервера. Плохая — в дата-центрах бывают и не такие гости.
👍1
Неисправленная уязвимость в Gogs привела к взлому 700 серверов
Критическая 0-day уязвимость в Gogs позволяет удалённо выполнять произвольный код. Из более чем 1400 публично доступных серверов свыше 700 уже скомпрометированы. Патча до сих пор нет.
Проблема CVE-2025-8110 связана с path traversal в API PutContents — атакующие используют символические ссылки для перезаписи файлов за пределами репозитория, обходя предыдущее исправление. Перезаписывая конфигурационные файлы Git, хакеры выполняют произвольные команды. Признак компрометации — репозитории со случайными 8-символьными названиями. Рекомендуется срочно отключить Open Registration и ограничить доступ к серверу.
Self-hosted, говорили они. Безопаснее, говорили они.
Критическая 0-day уязвимость в Gogs позволяет удалённо выполнять произвольный код. Из более чем 1400 публично доступных серверов свыше 700 уже скомпрометированы. Патча до сих пор нет.
Проблема CVE-2025-8110 связана с path traversal в API PutContents — атакующие используют символические ссылки для перезаписи файлов за пределами репозитория, обходя предыдущее исправление. Перезаписывая конфигурационные файлы Git, хакеры выполняют произвольные команды. Признак компрометации — репозитории со случайными 8-символьными названиями. Рекомендуется срочно отключить Open Registration и ограничить доступ к серверу.
Self-hosted, говорили они. Безопаснее, говорили они.
Госдума рассматривает блокировку всех сервисов Google в России
Депутаты обсуждают полное ограничение Google в России. Повод — компания до сих пор хранит персональные данные россиян за границей, а новые поправки к закону о персональных данных ужесточают требования к трансграничной передаче.
По словам Андрея Свинцова, это создаёт угрозу экономике и безопасности: бизнес держит в облаках Google финансовые данные, технологии и сделки — по сути, всю коммерческую тайну. Депутаты считают, что такие данные могут использоваться для мониторинга российской экономики и корректировки санкций.
Российские аналоги, уверяют парламентарии, уже ничем не уступают западным, а многие даже лучше. Переход планируют делать постепенно — через замедление и усложнение сервисов Google, чтобы дать время на миграцию.
Депутаты обсуждают полное ограничение Google в России. Повод — компания до сих пор хранит персональные данные россиян за границей, а новые поправки к закону о персональных данных ужесточают требования к трансграничной передаче.
По словам Андрея Свинцова, это создаёт угрозу экономике и безопасности: бизнес держит в облаках Google финансовые данные, технологии и сделки — по сути, всю коммерческую тайну. Депутаты считают, что такие данные могут использоваться для мониторинга российской экономики и корректировки санкций.
Российские аналоги, уверяют парламентарии, уже ничем не уступают западным, а многие даже лучше. Переход планируют делать постепенно — через замедление и усложнение сервисов Google, чтобы дать время на миграцию.
👎31👍4
Windows 10 без ESU лишилась возможности откладывать обновления
На компьютерах с Windows 10 без программы расширенных обновлений безопасности (ESU) кнопка «Приостановить обновления на 7 дней» стала неактивной. Скорее всего, это баг системы.
Внутренняя система оценки Windows Update, похоже, ошибочно определяет некоторые устройства как «просроченные» и переводит их в режим принудительного обновления. Новая логика разделения устройств с ESU и без неё даёт сбои. Бонус — если случайно кликнуть на обновление до Windows 11, отменить его тоже не получится. Microsoft пока не прокомментировала ситуацию.
На компьютерах с Windows 10 без программы расширенных обновлений безопасности (ESU) кнопка «Приостановить обновления на 7 дней» стала неактивной. Скорее всего, это баг системы.
Внутренняя система оценки Windows Update, похоже, ошибочно определяет некоторые устройства как «просроченные» и переводит их в режим принудительного обновления. Новая логика разделения устройств с ESU и без неё даёт сбои. Бонус — если случайно кликнуть на обновление до Windows 11, отменить его тоже не получится. Microsoft пока не прокомментировала ситуацию.
😱2👎1
Австралийский файрвол пал под натиском школьников
В Австралии вступил в силу громкий закон о запрете социальных сетей для лиц младше 16 лет, но цифровой апокалипсис продлился меньше суток. Подростки массово вернулись в соцсети, используя элементарные методы социальной инженерии и современные технологии, пока правительство праздновало «победу» световым шоу на мосту Харбор-Бридж.
Оказалось, что хваленые системы верификации возраста бессильны перед смекалкой зумеров. В ход пошли дипфейки для обмана биометрии, документы родителей и генерация лиц несуществующих 40-летних людей через нейросети. Самые ленивые просто указывали 2000 год рождения при регистрации новых аккаунтов, так как старые оказались заблокированы лишь частично. Технически закон возложил ответственность за фильтрацию на сами платформы, но те явно не справляются с наплывом «взрослых» новорегов.
Вместо защиты детей власти получили урок по кибербезопасности от 14-летних, которые теперь знают про подмену личности и дипфейки больше, чем министры.
В Австралии вступил в силу громкий закон о запрете социальных сетей для лиц младше 16 лет, но цифровой апокалипсис продлился меньше суток. Подростки массово вернулись в соцсети, используя элементарные методы социальной инженерии и современные технологии, пока правительство праздновало «победу» световым шоу на мосту Харбор-Бридж.
Оказалось, что хваленые системы верификации возраста бессильны перед смекалкой зумеров. В ход пошли дипфейки для обмана биометрии, документы родителей и генерация лиц несуществующих 40-летних людей через нейросети. Самые ленивые просто указывали 2000 год рождения при регистрации новых аккаунтов, так как старые оказались заблокированы лишь частично. Технически закон возложил ответственность за фильтрацию на сами платформы, но те явно не справляются с наплывом «взрослых» новорегов.
Вместо защиты детей власти получили урок по кибербезопасности от 14-летних, которые теперь знают про подмену личности и дипфейки больше, чем министры.
👍13
Штрафы за авторизацию через Google и Apple ID станут реальностью
Госдума рассматривает поправки в КоАП, вводящие серьезные штрафы за использование иностранных систем авторизации на российских сайтах. За наличие кнопок «Войти через Google» или Apple ID юридическим лицам грозит взыскание от 500 до 700 тысяч рублей. Основная нагрузка ляжет на малый и средний бизнес, который еще не внедрил отечественные шлюзы, тогда как крупные игроки уже подготовились к изменениям. Регулятор планирует выявлять нарушителей автоматически, просто сканируя ресурсы на наличие запрещенных элементов интерфейса.
Главная головная боль для IT-отделов заключается не столько в коде, сколько в миграции данных. Профиль, привязанный к зарубежному ID, технически сложно «сшить» с новой авторизацией по российскому номеру телефона без потери истории и настроек. Эксперты прогнозируют возможный отток пользователей, которым будет лень проходить перерегистрацию. Также законопроект вводит аналогичные штрафы за нарушения в работе рекомендательных алгоритмов, причем за повторные промахи сумма взыскания может вырасти до 2,8 млн рублей.
Госдума рассматривает поправки в КоАП, вводящие серьезные штрафы за использование иностранных систем авторизации на российских сайтах. За наличие кнопок «Войти через Google» или Apple ID юридическим лицам грозит взыскание от 500 до 700 тысяч рублей. Основная нагрузка ляжет на малый и средний бизнес, который еще не внедрил отечественные шлюзы, тогда как крупные игроки уже подготовились к изменениям. Регулятор планирует выявлять нарушителей автоматически, просто сканируя ресурсы на наличие запрещенных элементов интерфейса.
Главная головная боль для IT-отделов заключается не столько в коде, сколько в миграции данных. Профиль, привязанный к зарубежному ID, технически сложно «сшить» с новой авторизацией по российскому номеру телефона без потери истории и настроек. Эксперты прогнозируют возможный отток пользователей, которым будет лень проходить перерегистрацию. Также законопроект вводит аналогичные штрафы за нарушения в работе рекомендательных алгоритмов, причем за повторные промахи сумма взыскания может вырасти до 2,8 млн рублей.
👎13👍1
Первый эфир пройдёт 18 декабря, второй — 23 декабря.
Эксперты Яндекса SourceCraft — Дмитрий Иванов, Сергей Бережной и Роман Елизаров разберут практические задачи и инструменты, которые можно применять в учёбе и реальных проектах.
На стримах будет разбор интересных алгоритмических задачек, которые полезно решать при подготовке к хакатонам, собеседованиям и различным соревнованиям, а также прожарка решений от ИИ-ассистента с призами для участников!
Также эксперты раскроют все секреты по работе с кодом в SourceCraft — AI-native платформы для разработки любого масштаба — от сайтов, ботов и лабораторных работ до проектов с большой кодовой базой и командой специалистов!
Эфир подойдёт студентам, джунам и разработчикам разных направлений, которые хотят лучше разобраться в современных инструментах разработки.
Давайте готовиться к 2026 вместе!
Please open Telegram to view this post
VIEW IN TELEGRAM
Arctic представила термопасту MX-7
Компания Arctic выпустила новый термоинтерфейс MX-7 с улучшенными характеристиками. Главные фишки — пониженное термическое сопротивление и высокая когезивность. По тестам производителя, новинка холоднее MX-6 на пару градусов, а разрыв с MX-4 достигает четырёх градусов.
Из особенностей — пасту нельзя размазывать по крышке процессора из-за высокой вязкости и низкой адгезии. Arctic рекомендует наносить её крестиком и прижимать кулером. Рабочий диапазон от -50 до +250°C, вязкость около 35-38 тысяч пуаз. К слову, MX-6 в недавнем тесте Tom's Hardware заняла второе место и стала лучшей по соотношению цены и качества
Компания Arctic выпустила новый термоинтерфейс MX-7 с улучшенными характеристиками. Главные фишки — пониженное термическое сопротивление и высокая когезивность. По тестам производителя, новинка холоднее MX-6 на пару градусов, а разрыв с MX-4 достигает четырёх градусов.
Из особенностей — пасту нельзя размазывать по крышке процессора из-за высокой вязкости и низкой адгезии. Arctic рекомендует наносить её крестиком и прижимать кулером. Рабочий диапазон от -50 до +250°C, вязкость около 35-38 тысяч пуаз. К слову, MX-6 в недавнем тесте Tom's Hardware заняла второе место и стала лучшей по соотношению цены и качества
👍3
Боты и нейросети окончательно перегнали людей по трафику
Cloudflare представила отчет за 2025 год, и цифры выглядят киберпанково. Глобальный трафик подскочил на 19%, но доля реальных пользователей упала до 43,5%, пока остальной канал занят разнообразными скриптами. ИИ-боты откусили уже 4,2% от общего пирога, а главным генератором машинной активности остается Googlebot, который пылесосит данные для обучения моделей. Основной поток этого цифрового шума традиционно идет из США.
Техническая эволюция сети спотыкается о легаси — переход на IPv6 буксует, так как провайдеры предпочитают прятать абонентов за NAT ради экономии старых IPv4 адресов. В топе соцсетей X Илона Маска рухнул на шестое место, уступив даже LinkedIn, а среди ИИ ожидаемо лидирует ChatGPT. Довольно иронично, что почти половина государственных отключений интернета в мире инициировалась ради борьбы со списыванием на экзаменах.
Cloudflare представила отчет за 2025 год, и цифры выглядят киберпанково. Глобальный трафик подскочил на 19%, но доля реальных пользователей упала до 43,5%, пока остальной канал занят разнообразными скриптами. ИИ-боты откусили уже 4,2% от общего пирога, а главным генератором машинной активности остается Googlebot, который пылесосит данные для обучения моделей. Основной поток этого цифрового шума традиционно идет из США.
Техническая эволюция сети спотыкается о легаси — переход на IPv6 буксует, так как провайдеры предпочитают прятать абонентов за NAT ради экономии старых IPv4 адресов. В топе соцсетей X Илона Маска рухнул на шестое место, уступив даже LinkedIn, а среди ИИ ожидаемо лидирует ChatGPT. Довольно иронично, что почти половина государственных отключений интернета в мире инициировалась ради борьбы со списыванием на экзаменах.
👍1😱1