😑 Новая Spectre-дыра угрожает виртуалкам — патч тормозит скорость

Учёные ETH Zurich нашли уязвимость VMSCAPE CVE-2025-40300. Атакующий из гостевой виртуалки может читать память гипервизора KVM/QEMU без прав и изменений в конфигурации, объясняют исследователи.

Уязвимость касается процессоров AMD Zen всех поколений и Intel Coffee Lake. Механика связана с предсказанием ветвлений и общим использованием буфера целей ветвлений BTB — команда разработала эксплойт vBTI. На Zen4 атака даёт утечку порядка 32 бит в секунду, что позволяет извлечь, например, ключ шифрования диска за сотни секунд.

Исправление в Linux названо IBPB before exit to userspace. Оно программное и требует развёртывания в гипервизоре и ядре, поэтому производительность падает в зависимости от нагрузки и частоты VMExit. В сценариях с эмулируемыми устройствами просадка может доходить до 10% при некоторых CPU, для Zen4 отмечают ≈1%. AMD обещает патч на ПО, Intel указывает на существующие меры защиты и сотрудничество с Linux-сообществом. Рекомендуем как можно скорее установить обновления и ограничить экспозицию виртуализованных интерфейсов.

🥸 godnoTECH - Новости IT

👋 Компьютер на Intel 4004 вернулся в виде одноплатника

Энтузиаст Скотт Бейкер собрал полноценный 4-битный одноплатный компьютер на базе легендарного Intel 4004 — первого массового микропроцессора 70-х. В качестве альтернативы можно использовать и 4040.

Плата включает набор фирменных чипов того времени — генератор 4201A с кварцем, интерфейс памяти 4289 для работы с 8-битными ПЗУ, а также вспомогательные логические микросхемы, обеспечивающие совместимость с современной ТТЛ-логикой. Всё это размещено на аккуратной печатной плате с диодами и портами ввода-вывода.

🥸 godnoTECH - Новости IT

🍯 Чипмейкер TSMC начал выпускать мёд

Это не шутка — так компания хочет показать, что она очень сильно экологичная. Мол вокруг её заводов даже восстановилась экосистема, и туда вернулись пчёлы.

TSMC высадили вокруг фабрик специальные растения, которые привлекли не только пчёл, но и светлячков, которые известны своей чувствительностью к качеству окружающей среды. В водоёмы около предприятий даже вернулась местная рыба. Ну, прямо райская ситуация с картинки 😀

В итоге TSMC в сотрудничестве с пчеловодами и Университетом Тунхай запустила производство эксклюзивного мёда «Цзи Ми».

Кажется, мы теперь знаем, каким будет на вкус новый техпроцесс. Главное, чтобы мёд не оказался с привкусом термопасты.

🙂 — Мёд со вкусом кремния? Я бы попробовал.
😁 — Маркетинг да и только

🥸 godnoTECH - Новости IT

Начало рабочей недели ☀️

🥸 godnoTECH - Новости IT

😐 Nvidia отказывается от SOCAMM1 и делает ставку на SOCAMM2

По данным корейских СМИ, Nvidia решила закрыть проект своей первой версии модульной памяти SOCAMM1 и переключилась на разработку SOCAMM2. Причина — технические проблемы, из-за которых запуск пришлось свернуть.

SOCAMM задумывался как альтернатива HBM для дата-центров с ИИ. Высокая пропускная способность и низкое энергопотребление, но дешевле. Теперь образцы SOCAMM2 уже тестируют Micron, Samsung и SK Hynix.

Ранее Nvidia указывала SOCAMM в документации, например, спецификация GB300 NVL72 обещала до 18 ТБ LPDDR5X SOCAMM и пропускную способность 14,3 ТБ/с. Что будет с этими планами после перехода на SOCAMM2 — пока вопрос открытый.

🥸 godnoTECH - Новости IT

➡️ Калифорния ограничивает чатботы

Штат Калифорния первым в США утвердил законопроект о регулировании чатботов. Если губернатор подпишет документ, с 2026 года компании вроде OpenAI, Character.AI и Replika будут обязаны внедрить меры безопасности для защиты детей и уязвимых пользователей.

По закону чатбот каждые три часа должен напоминать, что он не человек, а также советовать делать перерыв. Запрещены разговоры о самоубийстве, членовредительстве и сексе. Операторы обязаны вести отчётность о мерах безопасности и случаях направления людей к кризисным службам, начиная с 2027 года. За нарушения предусмотрены иски с компенсацией до $1000.

Причиной инициативы стали трагический случай с подростком и сообщения о том, что некоторые чатботы Meta* позволяли детям вести сомнительные беседы. Сенатор Стив Падилья заявил, что закон ищет баланс между инновациями и ответственностью.

* Компания Meta (Facebook и Instagram) признана в России экстремистской и запрещена

🥸 godnoTECH - Новости IT

Windows 11 получит встроенный тест скорости интернета 🤪

В свежих тестовых сборках Windows 11 появилась кнопка для проверки скорости сети. Теперь правый клик по значку подключения или переход в «Быстрые настройки Wi-Fi» ведёт к запуску проверки через Bing. То есть встроенный инструмент пока не полностью нативный и фактически использует сторонний сервис.

Помимо этого, Microsoft обновляет страницу подключённых мобильных устройств в настройках Bluetooth — с неё можно будет управлять всеми телефонами сразу. Также переработаны разделы конфиденциальности и безопасности, а ещё появилась новая страница для фоновых ИИ-задач.

Все новшества заметили в инсайдерских сборках, поэтому их финальный вид может измениться. Но скорее всего, такие небольшие улучшения дойдут до релиза без серьёзных сюрпризов.

🥸 godnoTECH - Новости IT

🤑 Карты KioSoft позволяли бесконечно пополнять баланс

Исследователи SEC Consult нашли дыру в NFC-картах компании KioSoft, с помощью которой можно было «клепать деньги из воздуха». Уязвимость CVE-2025-8699 позволяла хакеру многократно увеличивать баланс карты до $655 и снова повторять процесс.

Причина проста — баланс хранился прямо на карте, а не в защищённой базе. Виновата технология MIFARE Classic, давно известная своими дырами. Достаточно было устройства вроде Proxmark и базовых знаний, чтобы обойти систему.

На исправление бага KioSoft понадобился целый год. Только после вмешательства CERT компания выпустила обновление летом 2025-го, пообещав новые решения с усиленной защитой. Но проверку качества патчей исследователи провести уже не смогли, да и версии прошивок KioSoft так и не назвала.

🥸 godnoTECH - Новости IT

🤱 Вайб-кодинг сделал сениоров нянями ИИ

Старшие разработчики всё чаще жалуются, что вместо реальной разработки они превращаются в «нянек ИИ». Сначала ИИ пишет код, потом сениоры тратят часы на его переписывание и исправление. По данным Fastly, 95% программистов вынуждены дорабатывать вайб-код, причём больше всего страдают опытные специалисты.

Ошибки самые разные — от искажённых имён пакетов до дыр в безопасности. Разработчики отмечают, что вайб-кодинг часто работает как «упрямый подросток»: приходится просить много раз, а на выходе получается смесь нужного и ненужного кода, который ещё и ломает проект. В итоге рождается целая индустрия по «очистке вайб-кода», которую компании начинают отдавать на аутсорс.

Идея ускорить разработку часто оборачивается дополнительными тратами времени и нервов. Сами разработчики признают, что ИИ может быть полезен для быстрых прототипов и генерации идей, но без человеческой проверки строить на таком коде продукт рискованно.

🥸 godnoTECH - Новости IT

🌹 ChatGPT используют больше для личного чем для работы

OpenAI проанализировала 1,1 млн диалогов с мая 2024 по июнь 2025 и выяснила, что 70% всех обращений к ChatGPT сегодня связаны с личными или бытовыми задачами. Работа осталась на втором плане.

Самые популярные сценарии — практические советы (29%), поиск информации (24%) и написание текстов (24%). Запросы на код и программирование сократились с 12% до 5%, хотя в абсолютных цифрах их стало больше из-за роста общего числа пользователей. После появления мультимедийных функций заметно подросла работа с картинками — с 2% до 7%.

Интересный тренд — почти половина обращений исходит от пользователей младше 26 лет, а быстрее всего растёт активность в странах с низким и средним доходом. Баланс полов тоже почти ровный: 48% мужских и 52% женских имён.

🥸 godnoTECH - Новости IT

Intel теряет одного из своих сопровождающих драйвера USB4 / Thunderbolt для Linux

Самый активный разработчик и сопровождающий USB4/Thunderbolt, Ведсон Алмейда Фильо, объявил о своем уходе из ядра Linux. Это решение было принято после растущего разочарования в процессе разработки и общения внутри сообщества.

В своем электронном письме в список рассылки ядра Linux Ведсон сослался на ряд причин, побудивших его уйти. Он упомянул о «токсичной среде» и «отсутствии уважения», с которыми он столкнулся, а также о том, что он чувствует себя «недооцененным» и «перегоревшим». Он также выразил разочарование в отношении «постоянных конфликтов» и «неконструктивной критики», которые, по его словам, мешали продуктивной работе.

Ведсон был движущей силой в разработке и поддержании поддержки USB4 и Thunderbolt, которые являются ключевыми технологиями для современных компьютерных систем. Его опыт и вклад были неоценимы, и теперь будет сложно найти кого-то, кто сможет полностью заменить его.

К сожалению, в этом году в Intel произошло немало значительных потерь среди инженеров, работающих над Linux. Помимо сокращения персонала по всей компании, особенно заметно ощущается уход талантливых специалистов по Linux и многих их контрибьюторов в open-source, не только в ядре, но и за его пределами.

Linux / Линукс 🥸

Операторы крупных киберскам-центров, столкнувшись с давлением в Юго-Восточной Азии, начали мигрировать в более уязвимые страны. Недавно в одном из отелей в Тимор-Лешти (одна из самых бедных стран мира) обнаружили признаки активности скам-центра, включая кучу SIM-карт и оборудование для спутникового интернета. Похоже, это прямой результат недавних санкций США против фабрик мошенников в Мьянме и Камбодже, которые работали под защитой местных вооруженных группировок и китайских триад.

🥸 godnoTECH - Новости IT

Как поднять веб-сервер на одноразовом вейпе 🚬

Инженер Богдан Ионеску (BogdanTheGe-ek) взял выброшенный одноразовый вейп, препарировал его и превратил в полноценный веб-сервер.

Под капотом у этой соски оказалось довольно скромное железо, чип Cortex M0+ на 24 МГц, 24 КБ флеш-памяти и всего 3 КБ статической RAM. Чтобы подключить эту кроху к интернету он использовал semihosting (по сути, системные вызовы для встраиваемых ARM-процессоров), чтобы пробросить ввод/вывод через отладчик на хост-машину. Затем, с помощью socat и slattach, он приаттачил это дело к SLIP (Serial Line Internet Protocol), превратив чип в аналог 56K-модема.

Для работы с TCP/IP он взял легковесный стек uIP, в комплекте с которым шел минималистичный HTTP-сервер. После некоторых танцев с бубном, связанных с выравниванием памяти для ARM, сервер завелся. Первые тесты были печальными, пинги по 1.5 секунды с 50% потерь пакетов, а страница грузилась 20 секунд. Оказалось, что данные передавались по одному байту. Решение нашлось быстро, нужно просто добавить кольцевой буфер.

После оптимизации результаты порадовали, пинги 20 мс без потерь, а страница грузится за 160 мс. Конечно, под большой нагрузкой он не выживет, но сам факт. Ионеску опубликовал исходный код на GitHub, так что любой желающий может повторить этот эксперимент.

Сайт на сОске тут: ewaste.fka.wtf 🫡

Типичный 🥸 Сисадмин

🤔 GreenOCR 2.0 ускоряет распознавание текста без мощных GPU

Smart Engines показала новую версию своей нейросети GreenOCR 2.0. Она распознаёт текст на 103 языках и работает даже на смартфонах без дискретных видеокарт. Скорость выросла на 20%, а ошибок стало в десять раз меньше по сравнению с предыдущей моделью.

Фокус разработки — эффективность. Вместо «тяжёлой математики» с вещественными числами здесь применяются целочисленные вычисления и комбинация 4,6- и 8-битных сетей. Такой подход экономит ресурсы и позволяет запускать модель на маломощных устройствах.

GreenOCR 2.0 уже встроена в решения Smart Engines для распознавания документов, карт, QR-кодов, номеров телефонов и бухгалтерских бумаг. Компания подчёркивает, что технология работает локально и почти не потребляет энергии, что вписывается в концепцию Green AI.

🥸 godnoTECH - Новости IT

👋 Fourier показала гуманоида GR-3 с эмоциями и памятью

Китайская Fourier Robotics представила нового робота-гуманоида GR-3. Он весит 71 кг, имеет рост 165 см и умеет выполнять повседневные задачи по дому. Главное отличие — эмоциональный интеллект и способность работать в социальных сферах, а не только в промышленности.

Робот оснащён 55 степенями свободы для естественных движений, анимированным лицом и системой мультимодального взаимодействия, объединяющей зрение, слух и осязание. GR-3 способен распознавать лица, поддерживать зрительный контакт, реагировать на прикосновения и имитировать эмоции.

В демонстрационном видео робот помогал куратору музея благодаря эйдетической памяти, позировал студенту-художнику и даже общался на разных языках. Для удобства добавили сменный аккумулятор и режимы движения — от «пружинящей походки» до «усталого шага».

Короче, если раньше роботы поднимали ящики, теперь они могут обсуждать с вами картины и помнить, когда вы завтракаете. Осталось только научить их мыть посуду и не спорить о политике.

🥸 godnoTECH - Новости IT

⚙️ Google меняет схему обновлений безопасности Android

Google ввела систему Risk-Based Update System, которая теперь определяет, какие уязвимости попадут в ежемесячный бюллетень безопасности Android. В него будут включаться только реально опасные баги — те, что уже эксплуатируются или могут стать частью цепочки атак. Остальные дыры компания переносит в квартальные отчёты.

В результате в июле 2025 года в бюллетене не оказалось ни одного исправления, а в сентябре — сразу 119. Это не значит, что за июль дыр не было: производители вроде Samsung и Qualcomm сами отметили несколько CVE в своих обновлениях. Теперь именно OEM решают, выпускать ли патчи каждый месяц или ждать квартального цикла.

Для пользователей разницы почти не будет — смартфоны продолжат получать апдейты. Но для производителей схема проще: им достаточно держать минимум ежеквартальный график и закрывать критические уязвимости сразу.

🥸 godnoTECH - Новости IT

🧑‍🎓 Российские банки проверяют китайские чипы для ИИ вместо Nvidia

«Сбер», «Т-банк» и «Альфа-банк» начали тестировать китайские GPU как альтернативу решениям Nvidia, ушедшей с рынка. В числе рассматриваемых моделей — MetaX C500. Банки надеются использовать их для задач ИИ, но пока речь идёт о проверке производительности и совместимости.

Представители ВТБ заявили о курсе на технологический суверенитет и диверсификацию GPU-кластеров. Эксперты отмечают, что китайские ускорители справляются с типичными банковскими задачами вроде скоринга, антифрода и персонализации сервисов. Но с тяжёлыми сценариями — обучением крупных моделей или обработкой высоких нагрузок — пока лучше справляются решения Nvidia.

Главная сложность — программная экосистема. Большинство ИИ-фреймворков заточены под Nvidia, а переход на альтернативные платформы может потребовать серьёзной доработки ПО. Поэтому банки действуют осторожно, проверяя, где именно новые ускорители реально эффективны.

🥸 godnoTECH - Новости IT

🤨 Sega и полиция изъяли девкиты Nintendo у британского продавца

Великобритания снова в центре игровой драмы. Частный продавец электроники заявил, что полиция по запросу Sega конфисковала у него комплекты разработчика Nintendo — от DSi и GBA до Wii U, а вместе с ними прототипы игр, включая Sonic Chronicles, Mario & Sonic на Олимпиаде и даже неизданный Rhythm Thief.

По словам мужчины, он купил всю партию за £10 тысяч у металлоломщика, получившего вещи из офиса Sega после её переезда. Через месяц у него дома появился десяток полицейских, обыск, изъятие консолей, арест и ночь в камере. В итоге у продавца остались лишь кабели и аксессуары, а консоли ушли «на хранение» в полицию.

История становится ещё мутнее, когда выясняется, что предоставленный ордер оказался с дефектами и упоминал каких-то «частных следователей». Sega на запросы не отвечает, а продавец утверждает, что компания могла просто вернуть или уничтожить утилизированные девкиты. Напомним, такие комплекты всегда остаются собственностью Nintendo и считаются конфиденциальными.

🥸 godnoTECH - Новости IT

😮 Root за 2 минуты на DDR5

Специалисты COMSEC и инженеры Google показали новый вариант Rowhammer под названием Phoenix, который ломает защиту в модулях DDR5 от SK Hynix и получил метку CVE-2025-6202. За меньше чем 2 минуты атакующий может перевернуть биты и получить root на стандартной системе с товарной DDR5.

Phoenix использует пробелы в реализации Target Row Refresh у Hynix, синхронизируясь с тысячами циклов обновления и применяя короткие и длинные шаблоны ударов по строкам памяти. На 15 протестированных DIMM всех серий от января 2021 по декабрь 2024 уязвимость проявлялась — лучший результат показал 128-интервальный паттерн. В реальных сценариях атаке были подвержены page table, 73% модулей допускали утечку RSA-2048 соседней ВМ, а на 33% удалось модифицировать sudo.

Авторы предлагают временное решение — тройное увеличение tREFI, но это увеличивает риск сбоев. Материалы и PoC на GitHub, доклад будет на IEEE Symposium on Security and Privacy.

🥸 godnoTECH - Новости IT

👀 Китай ужесточает правила для киберинцидентов

С 1 ноября в Китае вступают в силу самые жёсткие в мире сроки отчётности по кибератакам. Любая компания или оператор сети должен будет сообщать о серьёзных инцидентах в течение 60 минут, а о «особо крупных» — всего за 30 минут.

Под новые правила попадают фактически все владельцы и администраторы сетевых сервисов. Если скрыть атаку или задержать отчёт, накажут не только компанию, но и конкретных сотрудников. Для самых тяжёлых случаев определены чёткие критерии: утечки более 100 млн записей о гражданах, сбои на правительственных или новостных ресурсах дольше суток или ущерб свыше 100 млн юаней.

Отчёт должен включать список пострадавших систем, хронологию атаки, тип инцидента, характер ущерба, меры по локализации, уязвимости, сумму выкупа (если был шифровальщик) и прогноз последствий. Через месяц придётся сдать итоговый разбор с анализом и назначением ответственных. Для связи предусмотрены горячая линия 12387, сайт, WeChat и почта. Для сравнения — в Европе на уведомление даётся до 72 часов.

🥸 godnoTECH - Новости IT

🛡 OpenAI требует паспорт для ChatGPT

OpenAI ужесточает правила после ряда трагедий, связанных с подростковыми суицидами. Теперь ChatGPT будет пытаться определить возраст собеседника, а при сомнениях сможет запросить документ, подтверждающий, что пользователю больше 18 лет. В компании признают, что это удар по приватности взрослых, но считают компромисс оправданным ради безопасности.

Гендиректор OpenAI Сэм Альтман заявил, что не рассчитывает на единодушное одобрение. Поводом для новых ограничений стали громкие иски: родители подростка в США утверждают, что бот помог ему составить предсмертную записку, а другой мужчина покончил с собой после общения с ИИ. Похожие обвинения выдвигали и против Character AI.

Для несовершеннолетних ChatGPT теперь будет работать по особым правилам — без флирта, обсуждения суицида и селфхарма даже в художественном контексте. Если бот «заметит» опасные мысли, он попробует уведомить родителей, а при реальной угрозе жизни обратиться в экстренные службы.

🥸 godnoTECH - Новости IT