Hírolvasó

A Hewlett-Packard Enterprise (HPE) biztonsági frissítéseket adott ki, amiben többek között a CVE-2025-37103 azonosítón nyomon követett kritikus sérülékenység is javításra került, amely az Instant On Access Point eszközöket érinti.

Ezzel a magyar piacon a One lesz az egyedüli műholdas tévészolgáltató.

Egy kritikus NetScaler sérülékenység kihasználásával a támadók az oktatási, a pénzügyi, a kormányzati, a jogi, a technológiai és a távközlési szektor szervezeteit vették célba.

A felhőbiztonsági megoldásokra specializálódott Wiz kiberbiztonsági vállalat kutatói kritikus sérülékenységet fedeztek fel az Nvidia Container Toolkitben, amely komoly veszélyt jelenthet a benne menedzselt AI felhőszolgáltatásokra.

I'm unemployed right now and I go to job interviews once in a while. One time, the company was doing another AI thing, having to do with verifying that training computations were doing something useful, and not just "dumping a stream of floating point numbers".

Until now I didn't think of it, but apparently AI is all in FP. And it reminded me how I worked in a CPU design place, where they had a group focused on FP. Those guys were doing FP since the days of transistor. They migrated their designs, generation by generation, through TTL, ECL, Bi-CMOS, CMOS. When I heard from them last, they were tinkering with "deep sub-micron".

One remarkable part about their thing was that because they started out in transistors, their FPU didn't have any microcode. It was all in hardware. Even divisions! Just a bunch of counters that sequenced whatever necessary.

For a long time during the reign of x86, the group was somewhat de-prioritized, because many microprocessors at the time treated FP performance as an afterthought. A number of desktop CPUs shipped with no hardware FP at all. But look how the tables have turned. I honestly hope that it was not too late and AI has become a boon for the successors of my past colleagues.

Version 141.0 of the Firefox browser is out. Changes include "a local AI model" that can perform tab grouping, unit conversions in the address bar, and a change that many of us will find welcome: "On Linux, Firefox uses less memory and no longer requires a forced restart after an update has been applied by a package manager".

Balaton, sör, VMware webinar ... trey 2025. 07. 22., k – 16:43

GNOME and Fedora contributor Michael Catanzaro has written a lengthy blog post about the future of Fedora Workstation as an image-based release and the need to enable Flathub by default. He writes that the Fedora Workstation of the future must be "safe and image-based by default", with applications provided through Flathub:

Flathub is drastically more popular than Fedora Flatpaks even among the most hardcore Fedora community members who participate in change proposal debate on Fedora Discussion. (At time of writing, nearly 80% of discussion participants favor filtering out Fedora Flatpaks.)

This is the most important point. Flathub has already won.

He notes that Fedora should not force users to install an image-based OS if they do not want to, and there will be a package-based version for users who prefer or require it: "so no need to panic".

Google has announced the existence of OSS Rebuild, an infrastructure for the creation and verification of reproducible builds of software projects.

Our aim with OSS Rebuild is to empower the security community to deeply understand and control their supply chains by making package consumption as transparent as using a source repository. Our rebuild platform unlocks this transparency by utilizing a declarative build process, build instrumentation, and network monitoring capabilities which, within the SLSA Build framework, produces fine-grained, durable, trustworthy security metadata. [...]

Our vision extends beyond any single ecosystem: We are committed to bringing supply chain transparency and security to all open source software development. Our initial support for the PyPI (Python), npm (JS/TS), and Crates.io (Rust) package registries—providing rebuild provenance for many of their most popular packages—is just the beginning of our journey.

The QUIC transport-layer network protocol is not exactly new; it was first covered here in 2013. Despite carrying a significant part of the traffic on the Internet, QUIC has been anything but quick when it comes to getting support into the Linux kernel. The pace might be picking up, though; Xin Long has posted the first set of patches intended to provide mainline support for this protocol.

Security updates have been issued by AlmaLinux (tomcat9), Debian (djvulibre, libcommons-fileupload-java, libowasp-esapi-java, and tomcat9), Fedora (cef, dpkg, mingw-gdk-pixbuf, and mingw-python3), Gentoo (Roundcube), Oracle (avahi, cloud-init, fence-agents, git, kernel, and valkey), Red Hat (wireshark), SUSE (afterburn, apache2, busybox, java-21-openjdk, kernel, kernel-livepatch-MICRO-6-0-RT_Update_10, lemon, libexslt0, libgcrypt, libxml2-2, php8, postgresql17, python, python-oslo.utils, python311, python312, python313, and sudo), and Ubuntu (drupal7, erlang, fdkaac, gobgp, jq, linux-aws, linux-aws-6.8, linux-gke, linux-gkeop, linux-nvidia, linux-nvidia-6.8, linux-nvidia-lowlatency, linux-oracle, linux-oracle-6.8, linux-kvm, linux-oracle, and ruby-nokogiri).

Az amerikai kormányzat falhoz szoríthatta az Egyesült Királyságot.

Az új kormányzati oldal egyelőre tájékoztatásra szolgál, szó sincs az azonos néven futó mobilapp funkcióinak webre költözéséről.

Világszerte, széles körben sikerült SharePoint-incidenseket detektálni.

A hatóság statisztikái szerint egy háztartás hírközlési célú kiadásai gyerekenként átlagosan 3400 Ft-tal nőnek havonta.

A CrushFTP a hétvégén figyelmeztetést adott ki, miszerint a hackerek egy zero-day sérülékenységet kihasználva adminisztrátori jogosultságot képesek szerezni a vállalat fájlátviteli szoftverének hibája miatt.

A Microsoft SharePoint biztonsági frissítéseket adott ki a CVE-2025-53770 és a CVE-2025-53771 azonosítójú két nulladik napi sebezhetőséghez, amelyek világszerte veszélyeztettek rendszereket a "ToolShell" támadások során.

Még több információ derült ki az elmúlt évek egyik legjobban várt tőzsdei bevezetéséről.

A csatornák és egyéb fiókok többsége kínai és orosz államilag támogatott tartalmat közvetített.

A PoisonSeed adathalász kampány támadói képesek megkerülni a FIDO2 biztonsági kulcsok védelmét azáltal, hogy a WebAuthn kereszt-eszközös (cross-device sign-in) bejelentkezési funkcióját kihasználva megtévesztik a felhasználókat, és ráveszik őket, hogy jóváhagyják a hamis vállalati portálokról érkező bejelentkezési hitelesítési kérelmeket.