Tech
Log4j qualcosa si è mosso per risolvere i bug
Tempo di lettura: 3 minuti. Naked Security diffonde un tutorial per scoprire se si è vulnerabili e come provare a risolverli
Log4j è uno dei numerosi progetti software della Apache Software Foundation (più di 350 al momento) ed è una libreria di programmazione che i programmatori Java possono utilizzare per gestire i file di log nei loro prodotti.
I file di log sono una parte vitale dello sviluppo, del debug, della registrazione, del monitoraggio dei programmi e, in molti settori industriali, della conformità alle normative.
Purtroppo, non tutto il testo registrato, anche se inviato da un utente esterno, ad esempio come nome utente in un modulo di login, viene trattato alla lettera.
Se si indicava il proprio nome come MYNAME, veniva registrato proprio così, come stringa di testo MYNAME, ma qualsiasi testo racchiuso in caratteri ${…} veniva trattato come un comando da eseguire per il logger, che poteva causare la cosiddetta RCE, abbreviazione di remote code execution.
Recentemente abbiamo assistito a un bug simile, chiamato Follina, che ha colpito Microsoft Windows.
In quel caso, i caratteri problematici erano $(…), con parentesi tonde che sostituivano quelle grigie, ma con lo stesso tipo di effetto collaterale.
Nel bug di Follina, un URL che conteneva un nome di directory con la stringa SOMETEXT veniva trattato esattamente come era stato scritto, ma qualsiasi testo avvolto in $(…) veniva eseguito come un comando Powershell, causando ancora una volta un rischio di esecuzione di codice remoto.
Altri problemi con le parentesi
Il bug CVE-2022-33980, che non ha ancora un nome accattivante, è un errore molto simile nel toolkit Apache Commons Configuration.
Il nome è un po’ impegnativo: Apache Commons è un altro progetto Apache che fornisce numerose utility Java (sottoprogetti, se volete) che forniscono un’ampia gamma di pratici strumenti di programmazione.
Uno di questi è Commons Configuration, che consente alle applicazioni Java di lavorare con file di configurazione di una vasta gamma di formati diversi, tra cui XML, INI, plist e molti altri.
Come dice il progetto stesso, “la libreria software Commons Configuration fornisce un’interfaccia di configurazione generica che consente a un’applicazione Java di leggere i dati di configurazione da una varietà di fonti“.
Sfortunatamente, anche questo software tratta il testo avvolto in ${…} in modo speciale.
Invece di usare il testo letteralmente, avviene la seguente “rielaborazione” speciale, definita in modo piuttosto confuso nel gergo come interpolazione:
- ${script:STRING} esegue STRING come script Java e utilizza l’output del codice.
- ${dns:STRING} cerca STRING usando il DNS.
- ${url:STRING} legge l’URL STRING e da lì recupera il testo da utilizzare.
- In altre parole, i dati di configurazione intrappolati potrebbero, in teoria, essere usati per eseguire codice dannoso, per far trapelare i dati tramite le ricerche DNS o per recuperare le impostazioni di configurazione da un sito web illegale.
Cosa fare?
Secondo il team di Commons Configuration, questo bug di “interpolazione” è stato introdotto nella versione 2.4 (rilasciata alla fine del 2018) e corretto nella versione 2.8.0 (rilasciata il 2022-07-05, ovvero martedì di questa settimana).
Tutti gli aggiornamenti che risalgono alla versione 2.2 del 2017 sono elencati come “minor release”, quindi si presume che l’aggiornamento da una qualsiasi delle versioni vulnerabili 2.4, 2.5, 2.6 o 2.7 alla versione più recente non dovrebbe essere controverso.
Quindi, se avete del software Java che utilizza la libreria Apache Commons Configuration, aggiornate il prima possibile!
Oh, e se siete programmatori…
…che la chiamiate “sostituzione di comandi”, “riscrittura dal vivo”, “rielaborazione” o “interpolazione”, usatela con parsimonia e non attivatela di default per i dati di cui non abbiate già verificato l’attendibilità.
Sono vulnerabile?
Un modo rapido per verificare la presenza di una libreria Commons Configuration potenzialmente vulnerabile su un computer è quello di cercare nomi di file della forma commons-configuration2-*.jar, dove * è un carattere jolly che indica “qualsiasi testo consentito qui”.
Su Linux/Unix, provare:
$ find / -type f -name ‘commons-configuration2-*.jar’
Su Windows, provare:
DIR C:\commons-configuration2-*.jar /S
Le versioni vulnerabili hanno i nomi:
commons-configuration2-2.4.jar
commons-configuration2-2.5.jar
commons-configuration2-2.6.jar
commons-configurazione2-2.7.jar
Le versioni precedenti o successive non presentano il bug.
L’ultima versione patchata è:
commons-configuration2-2.8.0.jar
Se si trovano file con nomi come questo:
commons-configuration-1.9.jar
… si tratta della vecchia versione (versione 1) della libreria, che non presenta questo bug.
Intelligenza Artificiale
Google I/O 2024: tutto quello che c’è da sapere
Tempo di lettura: 3 minuti. Scopri le ultime innovazioni di Google I/O 2024, tra IA Gemini, Google Lens con video e l’assistente Astra.
Google I/O 2024 si è concluso lasciando il pubblico entusiasta per l’annuncio di numerose innovazioni legate all’intelligenza artificiale, in particolare ai modelli Gemini di Google. L’evento ha messo in evidenza l’integrazione di queste tecnologie nelle applicazioni come Workspace e Chrome, promettendo un impatto significativo sull’uso quotidiano del software e dei servizi Google.
Nuove frontiere per Google Lens e Gemini
L’introduzione della possibilità di cercare informazioni tramite video rappresenta un passo avanti significativo per Google Lens. Gli utenti possono ora registrare un video, fare una domanda durante la registrazione e ottenere risposte pertinenti direttamente dall’intelligenza artificiale di Google. Questa funzionalità estende notevolmente le potenzialità di ricerca visiva, offrendo un’interazione più dinamica e intuitiva.
Un’altra novità è “Ask Photos”, che permette a Gemini di analizzare le librerie fotografiche degli utenti su Google Photos per rispondere a domande specifiche, andando oltre la semplice identificazione di immagini di animali domestici o paesaggi. Ad esempio, durante la dimostrazione, il CEO Sundar Pichai ha chiesto a Gemini di rivelare il numero della sua targa, ottenendo non solo la risposta corretta ma anche la relativa immagine per verifica.
Aggiornamenti significativi nei modelli AI
Google ha presentato il nuovo modello AI Gemini 1.5 Flash, ottimizzato per compiti specifici che richiedono bassa latenza e alta frequenza. Questo modello promette risposte più rapide e precise, migliorando significativamente l’efficienza nelle attività quotidiane degli utenti. Inoltre, sono state apportate modifiche al Gemini 1.5 Pro, raddoppiando la sua capacità di contesto e migliorando le funzioni di traduzione, ragionamento e codifica.
Progetto Astra e l’assistente multimodale
Il Progetto Astra di Google mira a creare un assistente virtuale multimodale che possa comprendere e interagire con l’ambiente circostante tramite la fotocamera del dispositivo. Questo assistente è stato progettato per ricordare la posizione degli oggetti e assistere l’utente in modi innovativi, sostenendo alcune delle dimostrazioni più impressionanti dell’evento.
Google rinnova la ricerca con l’opzione ‘web’ e pulsante anti-AI
Google ha introdotto una nuova funzionalità di ricerca ‘web’, che promette di trasformare l’esperienza degli utenti nel navigare i risultati di ricerca, eliminando molti contenuti non essenziali che normalmente appesantiscono la pagina dei risultati.
Nuova modalità ‘web’ per una ricerca più pulita
L’aggiornamento più recente di Google introduce un’impostazione opzionale che permette agli utenti di filtrare quasi tutti i blocchi di contenuto aggiuntivi presenti nella pagina dei risultati di ricerca, lasciando solo link e testo. Questa modalità esclude anche i nuovi riquadri di sintesi AI della società, offrendo una visuale più tradizionale e meno ingombrante.
Ad esempio, la ricerca di “migliori cabinati arcade per casa”, una delle query principali di Retro Dodo, non è più sepolta sotto post sponsorizzati e liste dei migliori prodotti redatte dai grandi siti di media; ora appare nella prima pagina dei risultati. Anche le ricerche di prodotti come i purificatori d’aria economici hanno visto una migliore posizionamento, liberandosi di un elevato numero di risultati di Google Shopping che normalmente monopolizzano la visuale.
L’opt-out dall’AI e il ritorno ai “10 link blu”
Nonostante l’utilità dei moduli AI di Google in alcune circostanze, la nuova funzione di filtro ‘web’ rappresenta una sorta di pulsante di opt-out per coloro che preferiscono una ricerca internet più diretta e meno automatizzata. Questa funzione riduce la prevalenza di pannelli di conoscenza e snippet in primo piano, preservando lo spirito originale dei “10 link blu” di Google, nonostante gli sforzi dell’azienda di superarli con le sue iniziative in AI.
Mentre la nuova funzione ‘web’ di Google non risolve tutti i problemi legati al motore di ricerca dell’azienda, offre agli utenti una scelta più grande su come vogliono che le informazioni vengano presentate, segnando un passo importante verso una maggiore personalizzazione dell’esperienza di ricerca online. Google I/O 2024 ha evidenziato l’importanza crescente dell’intelligenza artificiale nelle tecnologie quotidiane, con Google che continua a spingere i confini di ciò che è possibile fare con l’AI, rendendo la tecnologia sempre più integrata e utile nella vita di tutti i giorni.
Tech
Google I/O 2024 : la ricerca web ai tempi di Gemini
Tempo di lettura: < 1 minuto. Il futuro dell’interazione cambierà, facendo una domanda a Google, il modello di intelligenza artificiale, addestrato su praticamente tutto il web, sarà capace di fornire direttamente una risposta all’utente. Al momento i siti saranno citati come “fonte” dell’informazione, in futuro non ci sarà più una fonte, ma diversi contenuti letti e rielaborati dall’Intelligenza Artificiale, che risponderà all’utente con parole proprie, utilizzando i siti solo come contenitori di informazioni.
Si è appena concluso l’evento Google I/O 2024 dove l’azienda ha presentato le ultime novità tecnologiche e le innovazioni sui suoi servizi.
Tra le varie novità, principalmente legate all’intelligenza artificiale, abbiamo avuto conferma di quello che già si sospettava da tempo: il motore di ricerca cambierà per sempre.
Gli esperti SEO (ottimizzazione dei siti per i motori di ricerca) hanno reso i contenuti del web sempre più “leggibili” da parte del crawler di Google. Il motivo per cui i webmaster ed esperti SEO formattano i contenuti dei siti così come richiede Google è legato alla opportunità di ricevere maggiore traffico e visite sui propri siti.
Gli utenti del web quando cercano una informazione lo fanno principalmente utilizzando il motore di ricerca di Google. I risultati della ricerca inizialmente erano una serie di link verso siti che probabilmente contenevano la risposta. Nel corso degli anni abbiamo assistito alla “cannibalizzazione” di molti di questi contenuti, il motore di ricerca infatti, quando ci riesce, prima dei link fornisce direttamente la risposta.
Il futuro dell’interazione cambierà, facendo una domanda a Google, il modello di intelligenza artificiale, addestrato su praticamente tutto il web, sarà capace di fornire direttamente una risposta all’utente. Al momento i siti saranno citati come “fonte” dell’informazione, in futuro non ci sarà più una fonte, ma diversi contenuti letti e rielaborati dall’Intelligenza Artificiale, che risponderà all’utente con parole proprie, utilizzando i siti solo come contenitori di informazioni.
Le informazioni verranno capite, valutate, rielaborate e fornite agli utenti.
Leggi tutte le novità seguendo il nostro speciale su Google I/O 2024.
Intelligenza Artificiale
Google rivoluziona GenDino di Chrome con l’AI Generativa
Tempo di lettura: < 1 minuto. Scopri “GenDino”, la versione speciale del gioco del dinosauro di Chrome potenziata da AI generativa, lanciata brevemente durante il Google I/O 2024.
In occasione del Google I/O 2024, Google ha introdotto una versione speciale del famoso gioco del dinosauro di Chrome, soprannominato “GenDino”, incorporando elementi di intelligenza artificiale generativa per arricchire l’esperienza di gioco.
Dettagli del Gioco GenDino
“GenDino” ha offerto una breve ma intrigante dimostrazione delle capacità dell’AI generativa, consentendo ai giocatori di personalizzare il T-Rex, gli ostacoli e il deserto del gioco con immagini generate dall’intelligenza artificiale. Questa funzionalità era accessibile solo per pochi minuti prima dell’inizio del keynote del Google I/O 2024. I giocatori potevano utilizzare un pulsante “I’m feeling lucky” per sperimentare combinazioni predefinite create dall’AI, come un fulmine che salta sopra le persone.
Esperienza e Problemi Tecnici
Nonostante l’idea innovativa, alcuni utenti hanno riscontrato problemi tecnici, ricevendo avvisi del tipo “Can’t generate right now — the model is busy”, che impedivano l’uso della funzione di personalizzazione. Tuttavia, coloro che sono riusciti a provare il gioco con le combinazioni predefinite hanno apprezzato questa breve ma divertente esperienza.
L’introduzione di “GenDino” rappresenta un esempio giocoso dell’applicazione dell’intelligenza artificiale generativa in contesti familiari, dimostrando come la tecnologia AI possa essere utilizzata per reinventare anche le esperienze quotidiane più semplici. Sebbene la disponibilità del gioco sia stata limitata, l’evento ha offerto un assaggio delle potenzialità creative dell’AI. Questo aggiornamento temporaneo al classico gioco del dinosauro di Chrome riflette l’interesse crescente di Google nell’esplorare e dimostrare le applicazioni pratiche dell’intelligenza artificiale generativa in modi nuovi e interessanti.
- Editoriali2 settimane fa
Chip e smartphone cinesi ci avvisano del declino Occidentale
- Inchieste2 settimane fa
Ransomware in Italia: come cambia la percezione del fenomeno nell’IT
- Economia2 settimane fa
Internet via satellite: progetto europeo IRIS² in grande difficoltà
- Editoriali1 settimana fa
Anche su Giovanna Pedretti avevamo ragione
- L'Altra Bolla1 settimana fa
Jack Dorsey getta la spugna e lascia Bluesky
- Inchieste1 settimana fa
Perchè il motore di ricerca OpenAI fa paura ai giornalisti?
- Smartphone1 settimana fa
Richiesta di Class Action contro Samsung per il Galaxy S24 Ultra
- L'Altra Bolla1 settimana fa
Meta arriva l’intelligenza artificiale per la Pubblicità