Исследователь раскрыл свежий эксплойт на 0-day уязвимость Windows в знак протеста против сокращения выплат по bug bounty

Пример использования эксплойта есть на видео, а исходники доступны на GitHub: https://github.com/klinix5/InstallerFileTakeOver

С помощью этой уязвимости можно всего за несколько секунд получить права администратора на Windows 10, Windows 11 и Windows Server 2022 со всеми патчами. При запуске эксплойта происходит перезапись службы повышения прав Microsoft Edge. Она копирует себя в расположение службы и получает повышенные привилегии, выполняясь под SYSTEM.

Исследователь Абдельхамид Насери рассказал, что публично раскрыл экслойт из-за разочарований в политике Microsoft. Ведь компания уменьшает награды исследователям с апреля 2020 года. К примеру, награда за 0-day уязвимости снизилась в 10 раз — с $10 000 до $1 000.

#windows #безопасность

​Как одна строчка на C способна сгенерировать бинарник весом 16 ГБ?

Есть такие относительно небольшие файлы, которые, если подать их на вход программе, не защищённой от такой атаки, могут потребить невообразимое количество памяти. Называются такие файлы — компиляторные бомбы.

Рассказываем подробнее на примере лучших компиляторных бомб:

https://tprg.ru/RAlE

Оказывается, чтобы обойти блокировку по отпечаткам пальцев, нужно только фото отпечатка, лазерный принтер и клей ПВА

Это доказали исследователи Kraken Security Labs Team. Они отредактировали фото отпечатка в графическом редакторе, сделав его монохромным. Затем для придачи трёхмерной структуры лазерным принтером распечатали отпечаток на ацетатном плёночном листе. И покрыли снимок отпечатка столярным клеем.

Способ уже отлично показал себя для разблокировки iPad, MacBook Pro и переносного электронного кошелька. Кому интересно, в статье исследователи подробно рассказали о своей находке: https://tprg.ru/xcPy

#безопасность

Нейроинженер научил проходить уровень на движке Doom II... обычных крысят!

Кажется, попыткам запускать Doom на всём подряд пришла достойная замена.

Для того, чтобы дать возможность крысятам играть, учёный Виктор Тот создал специальную VR-установку. В основе которой лежит шар, отслеживающий движения грызуна. А чтобы выстрелить, ему достаточно немного приподнять свою тушку, что также фиксируют датчики. За правильные действия крысёнок получает сладкую воду через трубочку, стоящую перед ним.

Конечно, это сложно назвать полноценной игрой, ведь это всего лишь прямой коридор, а монстр даже не атакует. Но что вы хотели от такого маленького существа?

#diy

​Ждали удачного момента, чтобы прокачаться в более узкой специальности или вовсе освоить новое направление? Это он!

В Skillbox стартовала чёрная пятница. А это значит, что вы можете не только обучаться со скидками до 60%, но и получить промокоды от Asus, Honor, Литрес, Clinique и других партнёров.

Полезное для себя найдут не только новички, но и продвинутые программисты в самых разных направлениях и языках:
— веб-разработка;
— мобильная разработка;
— анализ данных;
— геймдев и другие.

Узнайте подробнее о скидках, программе курсов и успешных выпускниках: https://tprg.ru/smQH

Это #партнёрский пост

​Как собрать компьютер, используя только простые логические микросхемы?

Если вы задумывались о том, как самостоятельно собрать рабочий компьютер с полного нуля, рекомендуем эту статью. В ней автор рассказал, как ему удалось собрать полноценный компьютер из логических микросхем:

https://tprg.ru/xyWm

Компьютер имеет процессор на 8 бит с тактовой частотой 1.5 МГц, память 32 КБ ПЗУ и 52 КБ ОЗУ, видеокартой с текстовым режимом 80x30 и 16 цветов. На нём можно играть, читать, редактировать текстовые файлы, считать и даже строить графики.

#hardware #diy

​Онтико и СберМегаМаркет поставили амбициозную цель: дать возможность посетить HighLoad++ как можно большему числу ИТ-специалистов

Highload++ Foundation — это крупнейшая профессиональная конференция для разработчиков высоконагруженных систем, которая проходит с 2007 года. И в этот раз посетить конференцию можно с большой скидкой в честь чёрной пятницы, купив билет с 24 по 26 ноября по промокоду PROGER40.

Акция распространяется только для физических лиц с возможностью покупки одного билета.

На конференции вас ждут:
— 16 тематических секций по оптимизации, производительности, безопасности, микросервисам и другим темам;
— OpenSource-трибуна и экспертные зоны;
— зоны нетворкинга, afterparty и многое другое.

Когда: 17-18 марта

Узнайте подробнее и зарегистрируйтесь: https://tprg.ru/dLa6

#ивент

Задайте эти вопросы заказчику прежде, чем начать работу над проектом, и сэкономите кучу времени и нервов

Как должна сдаваться работа, кто ещё будет участвовать в проекте и есть ли ограничения по стеку — в статье собрали для вас эти и другие вопросы. А также попросили экспертов поделиться своим опытом:

https://tprg.ru/ceaV

#советы

Nvidia прокачала нейросеть GauGAN, превращающую схематичные рисунки в фотореалистичные пейзажи

GauGAN2 обучили уже на 10 млн изображений, вместо 1 млн в GauGAN. И внедрили функцию перевода текста в изображения.

Го тестить: http://gaugan.org/gaugan2/

#nvidia #ии #нейросети

Alftel представила Seaberry Pi — материнскую плату с 11 слотами PCIe для Raspberry Pi Compute Module 4

Плата имеет форм-фактор Mini ITX и оснащена слотом x16, x1, 4-мя слотами mini PCIe, 4-мя M.2 E-key с двумя линиями PCIe и слотом M.2 M-key для твердотельных накопителей NVME. За счёт чего позволяет собрать рабочую станцию на базе Raspberry Pi, поместив все компоненты в стандартный ПК-корпус. Также на плате имеются все стандартные для Raspberry Pi разъёмы. А стоит Alftel Seaberry Pi от $435 долларов.

Как считаете, полезная штуковина или очередной троллейбус_из_хлеба.jpg?

#raspberry

​У GeekBrains начинается большая «чёрная пятница»

А это значит, что в вашей карьере может начаться белая полоса. Ведь можно приобрести курс со скидкой до 40%. Спектр специальностей очень обширный, так что вы сможете подобрать курс под себя: разработка, тестирование, дизайн и маркетинг.

Обеспечьте будущего себя востребованной специальностью: https://tprg.ru/OVzg

Это #партнёрский пост

​Наверняка каждый разработчик сталкивался с прокрастинацией. А как вам удаётся её побороть и что помогает снова вернуться в «поток»?

#обсуждение

​Ловите подборку главных новостей уходящей недели:

— Создана самоуничтожающаяся флешка для параноиков

— В Skyrim VR теперь можно управлять магией силой мысли

— В чипах MediaTek обнаружили возможность прослушки

— В США разработали компьютеры для установки в кость

#новости

​​Когда для рутинной задачи джун нашёл способ «поэффективнее»: