Tech
Log4j qualcosa si è mosso per risolvere i bug
Tempo di lettura: 3 minuti. Naked Security diffonde un tutorial per scoprire se si è vulnerabili e come provare a risolverli
Log4j è uno dei numerosi progetti software della Apache Software Foundation (più di 350 al momento) ed è una libreria di programmazione che i programmatori Java possono utilizzare per gestire i file di log nei loro prodotti.
I file di log sono una parte vitale dello sviluppo, del debug, della registrazione, del monitoraggio dei programmi e, in molti settori industriali, della conformità alle normative.
Purtroppo, non tutto il testo registrato, anche se inviato da un utente esterno, ad esempio come nome utente in un modulo di login, viene trattato alla lettera.
Se si indicava il proprio nome come MYNAME, veniva registrato proprio così, come stringa di testo MYNAME, ma qualsiasi testo racchiuso in caratteri ${…} veniva trattato come un comando da eseguire per il logger, che poteva causare la cosiddetta RCE, abbreviazione di remote code execution.
Recentemente abbiamo assistito a un bug simile, chiamato Follina, che ha colpito Microsoft Windows.
In quel caso, i caratteri problematici erano $(…), con parentesi tonde che sostituivano quelle grigie, ma con lo stesso tipo di effetto collaterale.
Nel bug di Follina, un URL che conteneva un nome di directory con la stringa SOMETEXT veniva trattato esattamente come era stato scritto, ma qualsiasi testo avvolto in $(…) veniva eseguito come un comando Powershell, causando ancora una volta un rischio di esecuzione di codice remoto.
Altri problemi con le parentesi
Il bug CVE-2022-33980, che non ha ancora un nome accattivante, è un errore molto simile nel toolkit Apache Commons Configuration.
Il nome è un po’ impegnativo: Apache Commons è un altro progetto Apache che fornisce numerose utility Java (sottoprogetti, se volete) che forniscono un’ampia gamma di pratici strumenti di programmazione.
Uno di questi è Commons Configuration, che consente alle applicazioni Java di lavorare con file di configurazione di una vasta gamma di formati diversi, tra cui XML, INI, plist e molti altri.
Come dice il progetto stesso, “la libreria software Commons Configuration fornisce un’interfaccia di configurazione generica che consente a un’applicazione Java di leggere i dati di configurazione da una varietà di fonti“.
Sfortunatamente, anche questo software tratta il testo avvolto in ${…} in modo speciale.
Invece di usare il testo letteralmente, avviene la seguente “rielaborazione” speciale, definita in modo piuttosto confuso nel gergo come interpolazione:
- ${script:STRING} esegue STRING come script Java e utilizza l’output del codice.
- ${dns:STRING} cerca STRING usando il DNS.
- ${url:STRING} legge l’URL STRING e da lì recupera il testo da utilizzare.
- In altre parole, i dati di configurazione intrappolati potrebbero, in teoria, essere usati per eseguire codice dannoso, per far trapelare i dati tramite le ricerche DNS o per recuperare le impostazioni di configurazione da un sito web illegale.
Cosa fare?
Secondo il team di Commons Configuration, questo bug di “interpolazione” è stato introdotto nella versione 2.4 (rilasciata alla fine del 2018) e corretto nella versione 2.8.0 (rilasciata il 2022-07-05, ovvero martedì di questa settimana).
Tutti gli aggiornamenti che risalgono alla versione 2.2 del 2017 sono elencati come “minor release”, quindi si presume che l’aggiornamento da una qualsiasi delle versioni vulnerabili 2.4, 2.5, 2.6 o 2.7 alla versione più recente non dovrebbe essere controverso.
Quindi, se avete del software Java che utilizza la libreria Apache Commons Configuration, aggiornate il prima possibile!
Oh, e se siete programmatori…
…che la chiamiate “sostituzione di comandi”, “riscrittura dal vivo”, “rielaborazione” o “interpolazione”, usatela con parsimonia e non attivatela di default per i dati di cui non abbiate già verificato l’attendibilità.
Sono vulnerabile?
Un modo rapido per verificare la presenza di una libreria Commons Configuration potenzialmente vulnerabile su un computer è quello di cercare nomi di file della forma commons-configuration2-*.jar, dove * è un carattere jolly che indica “qualsiasi testo consentito qui”.
Su Linux/Unix, provare:
$ find / -type f -name ‘commons-configuration2-*.jar’
Su Windows, provare:
DIR C:\commons-configuration2-*.jar /S
Le versioni vulnerabili hanno i nomi:
commons-configuration2-2.4.jar
commons-configuration2-2.5.jar
commons-configuration2-2.6.jar
commons-configurazione2-2.7.jar
Le versioni precedenti o successive non presentano il bug.
L’ultima versione patchata è:
commons-configuration2-2.8.0.jar
Se si trovano file con nomi come questo:
commons-configuration-1.9.jar
… si tratta della vecchia versione (versione 1) della libreria, che non presenta questo bug.
Intelligenza Artificiale
OpenAI accordo strategico con il Financial Times
Tempo di lettura: 2 minuti. OpenAI forma una partnership strategica con il Financial Times, includendo l’uso di contenuti per addestrare i suoi modelli AI
OpenAI ha firmato un significativo accordo di licenza con il Financial Times (FT), segnando un ulteriore passo nel coinvolgimento di importanti organizzazioni giornalistiche nel suo ecosistema AI. Questa collaborazione non solo permette a OpenAI di utilizzare i contenuti del FT per addestrare i suoi modelli di intelligenza artificiale, ma apre anche la strada a sviluppi futuri di prodotti AI che potrebbero beneficiare sia i lettori del FT che gli utenti di OpenAI.
Dettagli dell’accordo
L’accordo con il Financial Times è descritto come una partnership strategica e di licenza, indicando un legame più stretto rispetto ad altri accordi di OpenAI con editori. Sebbene sia un’intesa non esclusiva e non comporti una partecipazione di OpenAI nel FT, il patto consente a OpenAI di sfruttare i contenuti del FT per addestrare i suoi modelli AI e, ove appropriato, per mostrare risposte generate dall’AI nei suoi strumenti come ChatGPT.
Implicazioni strategiche
Il FT utilizzerà questa collaborazione per migliorare la propria comprensione dell’AI generativa, particolarmente come strumento di scoperta di contenuti, e per sviluppare “nuovi prodotti e funzionalità AI per i lettori del FT”. Inoltre, il FT ha già iniziato a utilizzare prodotti OpenAI, inclusa la versione Enterprise di ChatGPT, e prevede di esplorare ulteriormente l’uso dell’AI, pur mantenendo un occhio critico sulla affidabilità delle uscite automatizzate e i potenziali rischi per la fiducia dei lettori.
Benefici e Rischi per il Financial Times
Mentre l’accordo offre al FT una fonte di entrate tramite la licenza dei suoi contenuti, pone anche la pubblicazione di fronte alla sfida di bilanciare l’uso dell’AI con l’impegno nella produzione di giornalismo umano. John Ridding, CEO del Financial Times Group, sottolinea che è giusto che le piattaforme AI paghino gli editori per l’uso dei loro materiali, riconoscendo il valore del giornalismo di qualità e l’importanza di incorporare fonti affidabili nei prodotti AI.
Contesto Legale e Industriale
Questo movimento da parte di OpenAI si inserisce in un contesto più ampio di legalità e responsabilità nel campo dell’AI. Dopo che il New York Times ha citato in giudizio OpenAI per presunto uso non autorizzato dei suoi contenuti, l’accordo con il FT può essere visto come un tentativo di mitigare rischi legali futuri e di stabilire un modello sostenibile per il pagamento dei contenuti giornalistici utilizzati per addestrare modelli di linguaggio.
L’accordo tra OpenAI e il Financial Times rappresenta un’importante evoluzione nelle interazioni tra grandi piattaforme AI e l’industria editoriale, con implicazioni che vanno dalla creazione di nuovi prodotti AI all’adattamento delle pratiche giornalistiche in risposta alle tecnologie emergenti. Sarà interessante vedere come questo accordo influenzerà le operazioni e la strategia a lungo termine del FT e come modellerà il futuro dell’interazione tra AI e giornalismo.
Smartphone
Vivo X100s introduce funzionalità AI “Ritratto delle Quattro Stagioni”
Tempo di lettura: 2 minuti. Scopri la funzionalità AI “Ritratto delle Quattro Stagioni” del Vivo X100s che trasforma lo sfondo delle tue foto a seconda della stagione.
Vivo sta per lanciare i nuovi modelli della serie X100 a maggio, tra cui il Vivo X100s, X100s Pro e X100 Ultra. Tra le novità più interessanti del Vivo X100s c’è la funzionalità “Ritratto delle Quattro Stagioni”, che sfrutta l’intelligenza artificiale per adattare lo sfondo delle foto alle diverse stagioni dell’anno.
Come Funziona “Ritratto delle Quattro Stagioni”
La funzionalità “Ritratto delle Quattro Stagioni” utilizza l’AI per trasformare lo sfondo delle fotografie in base alla stagione selezionata dall’utente. Han Boxiao, il product manager di Vivo, ha dimostrato come questa caratteristica possa cambiare radicalmente l’aspetto di uno scatto, mantenendo invariati gli elementi principali della foto, come il soggetto, e modificando lo sfondo per rappresentare primavera, estate, autunno o inverno. Questo non solo aggiunge un tocco creativo alle immagini ma le rende visivamente impressionanti, come se fossero state scattate in diverse condizioni stagionali.
Ottimizzazione della Luce e Ombra
La funzionalità è ottimizzata per adeguare luce e ombra del ritratto a seconda della stagione selezionata, migliorando l’impatto visivo e la realistica rappresentazione delle varie atmosfere stagionali. Le immagini generate mostrano una qualità sorprendentemente realistica che può ingannare l’occhio a prima vista.
Altre Caratteristiche del Vivo X100s
Oltre alla novità del “Ritratto delle Quattro Stagioni”, il Vivo X100s sarà dotato di un display piatto, segnando una deviazione dal design curvo precedente. Il dispositivo monta un chipset Dimensity 9300+, che promette miglioramenti sia in termini di prestazioni che di capacità AI. Vivo continua la collaborazione con ZEISS per la fotocamera, garantendo scatti di alta qualità e l’introduzione di ulteriori funzionalità AI.
Disponibilità
Vivo X100s è atteso sul mercato a maggio e promette di essere una versione migliorata del modello originale X100, con un’enfasi particolare sulle capacità fotografiche avanzate grazie all’intelligenza artificiale. Con queste premesse, il Vivo X100s si prospetta come un dispositivo che attirerà l’attenzione di appassionati di fotografia e tecnologia.
Smartphone
Infinix GT 20 Pro: prestazioni top con caratteristiche innovative
Tempo di lettura: 2 minuti. Infinix GT 20 Pro: dispositivo per il gaming con caratteristiche all’avanguardia, prestazioni elevate e un design esclusivo.
Infinix ha annunciato il successore del suo smartphone per il gaming, il GT 10 Pro, presentando il nuovo Infinix GT 20 Pro durante un evento di lancio globale a Riyadh, in Arabia Saudita. Questo nuovo dispositivo promette di portare l’esperienza di gioco mobile a un livello superiore con una serie di caratteristiche innovative e prestazioni di alta gamma.
Processore potente e Memoria Avanzata
Al cuore del dispositivo batte il processore Dimensity 8200 Ultimate, affiancato da 8GB o 12GB di RAM LPDDR5X e 256GB di storage UFS 3.1. Questa combinazione di hardware offre prestazioni fluide e reattive per gestire anche i giochi più esigenti. Il telefono è preinstallato con XOS 14 e Infinix promette due aggiornamenti del sistema operativo Android e tre anni di aggiornamenti di sicurezza.
Display ottimizzato per il Gaming
Il GT 20 Pro vanta un chip dedicato Pixelworks X5 Turbo per il display, il primo smartphone della marca a montare due chip. Questo chip utilizza la tecnologia di interpolazione del frame rate del gioco Motion Estimation and Motion Compensation (MEMC) per aumentare i frame rate da 60 FPS a fino a 120 FPS, garantendo un’esperienza di gioco fluida e senza interruzioni. Inoltre, il telefono utilizza un motore di frame rate stabile per mantenere una frequenza di frame nativa fino a 120 FPS per un’operatività ultra-stabile durante il gioco.
Raffreddamento ottimizzato e Design Esclusivo
Per mantenere le temperature del dispositivo sotto controllo durante le sessioni di gioco intense, il GT 20 Pro è dotato di un sistema di raffreddamento a liquido VC che è il 73% più grande rispetto alla generazione precedente. Il design del telefono, ispirato al mondo dei videogiochi, presenta un motivo a turbine con un’attenzione particolare ai dettagli metallici, alla potenza e alla velocità. Inoltre, la parte posteriore del telefono è dotata di LED RGB personalizzabili che supportano otto combinazioni di colori e quattro effetti luminosi, offrendo un’esperienza visiva coinvolgente durante il gioco.
Fotografia e Autonomia
Il dispositivo offre un’esperienza fotografica completa con una fotocamera principale da 108MP (Samsung HM6 con OIS) e una fotocamera selfie da 32MP. Il display AMOLED LTPS da 6,78″ con refresh rate di 144Hz offre una qualità visiva eccezionale durante la visualizzazione di contenuti multimediali e il gioco. Infine, il GT 20 Pro è alimentato da una batteria da 5000 mAh con supporto per la ricarica rapida da 45W, garantendo lunghe sessioni di gioco senza problemi di autonomia.
Disponibilità
Infinix GT 20 Pro sarà disponibile in varianti di colore Mecha Orange, Mecha Silver e Mecha Blue, con diverse configurazioni di memoria. Ulteriori dettagli sui prezzi e sulla disponibilità saranno annunciati durante i lanci locali. Con le sue caratteristiche innovative e le prestazioni di alta gamma, il GT 20 Pro promette di essere un’ottima scelta per gli appassionati di giochi mobili che cercano un’esperienza di gioco premium.
- Notizie2 settimane fa
LightSpy: APT41 minaccia Utenti iPhone in Asia
- Notizie2 settimane fa
Miner di criptovalute arrestato per aver evaso pagamenti di Server Cloud per 3,5 Milioni di Dollari
- Notizie2 settimane fa
USA, arrestata per un’accusa di Sextortion da 1,7 Milioni di Dollari
- Cyber Security2 settimane fa
Come Nominare il Responsabile per la Transizione Digitale e Costituire l’Ufficio per la Transizione Digitale
- Notizie2 settimane fa
Kapeka: nuova backdoor di Sandworm per l’Est Europa
- Cyber Security2 settimane fa
Fortinet: vulnerabilità FortiClient EMS minaccia le aziende media
- L'Altra Bolla2 settimane fa
Truth Social di Trump lancia una Piattaforma di Streaming TV Live
- Editoriali1 settimana fa
Università, Israele e licenziamenti BigTech