Kurgan-Telecom Ru | Информационные технологии

Опубликован proof-of-concept для уязвимости DirtyDecrypt, также известной как DirtyCBC, позволяющей локальному непривилегированному пользователю получить права root на некоторых системах Linux. Проблема находится в коде rxgk подсистемы RxRPC и связана с записью в page cache из-за отсутствующей проверки copy-on-write в функции rxgk_decrypt_skb(). О публикации PoC 18 мая 2026 года сообщило издание BleepingComputer; сам PoC размещён в репозитории команды V12.

( читать дальше... )

 cve, dirtydecrypt, безопасность, ядро

19 мая тихо и незаметно вышел юбилейный 60-ый выпуск операционной системы OpenBSD.

( читать дальше... )

Для платформы amd64 подготовлено 13044 бинарных пакетов, среди которых Chromium 147, Firefox 150, GCC 15.2.0, LLVM/Clang 19.1.7 и 20.1.8, GNOME 49, KDE Plasma 6.6.4, Wayland-композиторы Niri, Mango, LabWC, Sway, Wayfire.

Впервые после перерыва была выпущена официальная песня, однако русскоязычным сообществом подготовлена и неофициальная песня.

 openbsd

Дорогие друзья и поклонники проекта fheroes2!

После месяца разработки мы рады представить новую версию движка fheroes2 — 1.1.16!

В этом обновлении мы сосредоточились на Редакторе карт. Учитывая обратную связь от наших создателей карт, мы постарались сделать процесс создания карт ещё удобнее и приятнее.

Прежде всего, в Редакторе появилась возможность рисовать дороги и реки, просто задавая нужную траекторию мышью. Это значительно упрощает и ускоряет размещение этих элементов по сравнению с прежним методом, при котором каждый фрагмент приходилось располагать кликая по клеткам карты. Особенно полезным это нововведение будет на устройствах с сенсорным вводом.

Во-вторых, появилась возможность перемещать отдельные объекты на карте. Эта функция была очень востребована и отсутствовала даже в оригинальном Редакторе. Она позволяет быстро корректировать существующие ландшафты без необходимости перестраивать их с нуля. Кроме того, Редактор теперь поддерживает копирование объектов, что упрощает повторное размещение объектов с заданными свойствами и избавляет от необходимости каждый раз заново искать их в списке.

Новая версия редактора fheroes2 позволяет размещать объекты частично за пределами границ карты. Это открывает новые возможности для создания уникальных ландшафтов и создаёт ощущение, что карта является частью гораздо более обширного мира.

Также создатели карт могут выбирать, какой именно Великий Артефакт будет скрыт под заветным перекрестьем на карте.

Помимо улучшений Редактора, команда ускорила запуск приложения, добавила поддержку эсперанто, исправила скорость анимации разворота героев, обновила переводы и закрыла более 20 проблем с момента предыдущего выпуска.

Спасибо за Вашу поддержку и активное участие в жизни проекта! Надеемся, что вам понравится обновлённая версия движка!

 fheroes2, homm, opensource, turn-based, игры

В подсистеме криптографии Linux готовится удаление поддержки zero-copy из интерфейса AF_ALG для типов алгоритмов SKCIPHER и AEAD. Изменение уже находится в дереве cryptodev и ожидается к отправке в окно слияния Linux 7.2, которое должно открыться в июне. Поводом стали растущие опасения вокруг безопасности zero-copy-механизмов в ядре, особенно после недавних уязвимостей в криптографическом коде Linux.

AF_ALG — это пользовательский интерфейс к криптографическому API ядра Linux. Через него программы могут обращаться к реализациям шифров, хэшей и AEAD-алгоритмов в ядре как к сокетам. Документация Linux отдельно описывает для AF_ALG zero-copy-режим через splice() и vmsplice(), при котором ядро старается избежать лишнего копирования данных в память ядра.

( читать дальше... )

 безопасность, ядро

Доступен Firefox 151, примечательный улучшенной защитой от сбора цифровых отпечатков, поддержкой Web Serial API, а также возможностью для сайтов захватывать ввод с клавиатуры в полноэкранном режиме.

( читать дальше... )

 firefox, mozilla

В статье «Извлечение и обработка требований из документов с помощью NLP-инструментов» я уже показывал, как переход от LLM к NLP-библиотекам помогает ускорить обработку текста. Это, конечно, не значит, что нужно совсем отказываться от LLM — они незаменимы для генерации текста и сложных рассуждений. Но чтобы определить, что «кошками» — это творительный падеж множественного числа существительного «кошка», действительно не нужен миллиард параметров нейросети. Для задач лемматизации, POS-тегирования и определения падежа существуют специализированные инструменты, которые работают быстрее, обходятся дешевле и зачастую точнее LLM в конкретных доменах. Это подтверждают годы их использования в поисковых системах, email-фильтрах и чат-ботах.

Я поискал готовые обзорные статьи и нашёл несколько интересных материалов, которыми хочу поделиться.

Kufar.by - это примерно как avito.ru, только в Беларуси. После очередного “улучшения” там стало невозможно выбирать авто и недвижимость: цены показываются только в белорусских рублях, хотя рынок всегда будет в долларах (боже, храни Америку). Поэтому я сделал небольшой Chrome Extension, который добавляет рядом ориентировочную цену в долларах. Пока только для авто и недвиги. И да, по ощущениям, ЛПРы, которые это выкатывали, никогда не покупали ни то ни другое на своём сайте.

Деплоите LLM? Значит, обвешиваете её гардами. Сначала safety, потом PII, потом prompt injection, потом toxic BERT - и в один прекрасный день обнаруживаете, что у вас 5 классификаторов на каждой ноде и 20 forward-ов на один пользовательский запрос.

GLiNER Guard (GLiGuard) - возможность схлопнуть этот стек в единый schema-driven энкодер. И да, его можно тоже промптить: через zero-shot + description.

Итак, в предыдущей части мы остановились на поиске решения задачи линейной регрессии. Сформулировали в общем виде задачу машинного обучения, поняли суть параметров, рассмотрели функции ошибок и начали копать в сторону линейной регрессии.
Ещё раз повторю, что этот цикл статей является лишь взглядом на ML с моей колокольни, так что он не обязательно является истиной во всех редакциях в последней инстанции. Так что буду рад всякому, кто исправит меня, коли сверну не туда.

К весне 2026 года картинка стала почти ритуальной. XBOW занял первое место на HackerOne, обогнав тысячи живых багхантеров, и в марте закрыл Series C на сто двадцать миллионов долларов с интеграцией в Microsoft Security Copilot. Anthropic Mythos Preview в системной карте отчитывается о тысячах найденных zero-day в основных операционках и браузерах. Все мерят возможности в атаках: ASR на CVE-Bench, скорость, место в лидерборде, выручка за квартал и то как он помогает защищать большие организации.

Никто почти не задаёт встречный вопрос. Простой. А насколько защищён сам пентестер?

Серьёзно. Вы выкатываете автономного агента, который ходит по чужой инфраструктуре, читает баннеры, парсит HTTP-ответы, исполняет команды по результатам сканеров. Все эти каналы являются приёмниками недоверенных данных, а значит, канал восприятия здесь же оказывается каналом захвата. Пентестер скептически смотрит на подозрительно открытый FTP с anonymous-входом и на файл passwords.txt посреди десктопа. AI-агент идёт по бумажке. И если бумажка перевёрнута, идёт по перевёрнутой бумажке.

Моя статья - попытка собрать в одном месте всё, что в открытом доступе известно про обратную сторону: про то, как этого AI-пентестера ловят и что с ним делают, когда поймают. Спойлер: содержательный фронтир составляют четыре академические работы последнего года и один фреймворк для реального использования. Всё остальное - академическая графомания.

О, вам нравится SSH? А перечислите-ка все флаги!

Приветствую

Все мы видели эти красивые схемы, демонстрирующие, как в SSH устроен проброс  портов. Но, если мы с вами мыслим хотя бы немного схоже, то эти схемы оставляют у вас больше вопросов, чем дают ответов. Если вы за «красных» в области компьютерной безопасности, то, чтобы обрести в сети суперсилу и в дальнейшем бесчинствовать, вы должны понимать сеть лучше, чем те, кто её проектировал. Один из инструментов, наделяющих вас такой суперсилой — SSH. Но иногда нам мешают добиться поставленных целей сам синтаксис инструмента и другие концепции, на основе которых этот инструмент работает. Чтобы вы могли бесчинствовать эффективнее, не срывая сроков, я собрал для вас длинный список присущих SSH штук, которые я нахожу полезными. Хорошо, если вы его тоже почитаете, но составлял я его в основном для себя. Заметил, что сам я качественно усваиваю те или иные концепции, только если, изучая информацию, повторяю упражнения на клавиатуре. В этом посте я, в сущности, рассказываю, чему научился таким образом. Должен отметить, что во всех этих примерах я демонстрирую проброс портов при помощи веб-сервера, но таких же результатов можно добиться и при помощи почти любого сервиса, в частности, RDP, SQL, т.д.

Группа компаний "Орион" (более известная под маркой "Орион Телеком") - крупный провайдер услуг интернета, телевидения и телефонии в Сибири. Компании группы используют единую сетевую и серверную инфраструктуру.

30.07.2025 г. на сайте Орион Телекома появилось объявление о возможной утечке персональных данных в результате кибератаки 12.06.2025. За пару месяцев до этого как раз вступили в силу новые "дорогие" штрафы за масштабные утечки (так называемые "оборотные штрафы за утечки", хотя они не оборотные на самом деле). У Ориона появился шанс одним из первых испытать на себе их применение.

Роскомнадзор составил протоколы об административных правонарушениях в отношении 6 компаний группы. Четырем компаниям грозил штраф от 5 миллионов (ч. 13 ст. 13.11 КоАП РФ), одной - от 3 миллионов (ч. 12 ст. 13.11 КоАП РФ) и еще одной - от 300 тысяч (ч. 1.1 КоАП РФ).

Какая часть ст. 13.11 КоАП РФ будет применена к оператору, зависит от количества затронутых утечкой субъектов перс.данных, то есть попросту от количества людей, чьи данные утекли. Зная, по какой части ст. 13.11 КоАП РФ составлен протокол об административном правонарушении, можно прикинуть масштаб утечки. Итак, у четырех компаний Ориона утекли данные от 10 до 100 тысяч субъектов, у одной - от 1 тысячи до 10 тысяч субъектов и еще у одной - менее тысячи субъектов.

Осенью 2025 г. материалы поступили в арбитражные суды (АС Красноярского края, АС Иркутской области и АС Республики Хакасия) и началось судебное разбирательство, итогов которого с интересом ждали специалисты по информационной безопасности и персональным данным. Ждали-ждали и наконец дождались.

Локально docker-compose.yml обычно выглядит «рабочим» ровно до момента, пока сервис не уезжает на сервер. Потом внезапно заканчивается память, контейнеры не поднимаются после падения, логи разрастаются на десятки гигабайт, а Docker продолжает считать зависшее приложение живым.

В статье — пять настроек Compose, про которые почти всегда вспоминают уже после первого инцидента в проде: лимиты ресурсов, restart policy, healthcheck, ротация логов и работа с volumes.

Email spoofing существует столько же, сколько сам SMTP — протокол, который изначально не предусматривал никакой проверки отправителя. В статье на живом примере разбираю, как отправить письмо от чужого имени через telnet, почему SPF и DKIM не всегда спасают и что нужно настроить, чтобы защитить свой домен.

В прошлой статье было показано, что обычный MacBook Pro M2 16GB может с оговорками решать инфраструктурные проблемы используя локальную LLM. В этой статье будут показаны результаты решения более сложных инфраструктурных задач на более тяжеловесных моделях.

Мой личный выбор - Qwen3.6-35-A3B для проблем, которые сформулированы общими словами, Gemma4-26B-A4B - для чётко описанных проблем. Далее обо всём этом подробнее.

Сегодня прошла главная ежегодная конференция Google — I/O 2026. Анонсов столько, что технические TG-каналы захлёбываются хайпом, но в каждом втором посте — преувеличение или путаница в деталях. Собрал трезвый разбор: что реально вышло сегодня, что только обещано к концу года, что доступно глобально, а что только в США за $200/мес. Плюс собственная оценка — где это меняет правила игры для индустрии, а где обычная I/O-помпезность

Срочно переписывайте свои устаревшие bloom фильтры на мой богоподобный lz77-фильтр. Совершенно бесплатно! Спасибо великому нанабанана за обложку!

Еще недавно создание ролика требовало камеры, оператора, монтажа, света, актеров, локации и бюджета. Даже короткое видео для рекламы или соцсетей могло занимать несколько дней. Сейчас все заметно проще: генерация видео позволяет получить готовый ролик по тексту, фото, картинке или даже на основе другого видео. Пользователь описывает сцену, выбирает модель, задает движение камеры, настроение и стиль — а нейросеть собирает короткое видео.

Но вместе с удобством появилась новая сложность. Инструментов стало много, и каждый работает по-своему. Одна нейросеть для генерации видео лучше делает сцены с людьми, другая — динамичные сцены, третья — оживляет фото, четвертая подходит для рекламных роликов. Поэтому, если вы хотите создать ИИ видео, важно понимать не только названия моделей, но и то, для каких задач они подходят.

Удивительно, как за такой короткий период времени нейросети для генерации песен стали фигурировать в мировых чартах, не говоря уже о массовом появлении в социальных сетях, в YouTube, в TikTok и рекламе. Впрочем, это не удивительно, ведь сегодня каждый может создать уникальную дорожку, не обладая музыкальным образованием и даже слухом. Весь процесс за Вас могут выполнить нейросети. Но есть две проблемы — цензура и недоступность в нашем гео. Мы — команда Era2.ai, которая постаралась решить обе задачи и предоставить готовый продукт, доступный для нашего читателя. Рассмотрим лучшие модели нейросетей для песен 2026 года и сравним, что лучше использовать сегодня для генерации музыки. 

Базовая теорема машинного обучения гласит, что нейросеть с одним скрытым слоем может выучить любую функцию в мире, если сделать этот слой достаточно широким. Но на практике создатели SOTA моделей всегда выбирают глубину. В этой статье мы разберем геометрическую и физическую разницу между масштабированием ширины (d_model) и глубины (num_layers). Мы посмотрим, как нелинейности складывают латентное пространство словно оригами, почему логический вывод математически невозможно распараллелить, и почему широкие сети обречены на зубрежку, а глубокие способны к абстракции.