В Firefox пропатчили уязвимость 0-day и включили поддержку HTTPS-Only

В Firefox пропатчили уязвимость 0-day и включили поддержку HTTPS-Only

В Firefox пропатчили уязвимость 0-day и включили поддержку HTTPS-Only

Компания Mozilla анонсировала выпуск Firefox 83 и активацию режима HTTPS-Only. Разработчик также устранил 21 уязвимость, в том числе баг нулевого дня в движке Chromium, который злоумышленники уже пробовали использовать в атаках.

Уязвимость 0-day в Chromium (CVE-2020-15999) в прошлом месяце раскрыли участники проекта Google Project Zero. Она связана с работой библиотеки FreeType и относится к классу «переполнение буфера». На момент появления патча для Chrome эксплойт CVE-2020-15999 уже засветился в целевых атаках — злоумышленники пытались применить его в связке с CVE-2020-17087 для Windows.

Разработчики Firefox оценили этот баг как умеренно опасный: он проявляется лишь при определенных настройках браузера и затрагивает только версии Firefox для Linux и Android.

Режим HTTPS-Only, согласно описанию, предусматривает приоритетное использование шифрованных соединений при заходе на сайты. При его включении Firefox автоматически пытается перенаправить все HTTP-запросы на защищенный вариант страниц, меняя http:// в адресной строке на https://. Если HTTPS-альтернатива недоступна, браузер выдает ошибку, предлагая продолжить загрузку страницы по HTTP.

 

Опция HTTPS-Only в Firefox по умолчанию деактивирована, включить ее можно, открыв в настройках раздел «Приватность и защита».

Остальные нововведения, перечисленные в анонсе Mozilla, призваны повысить производительность браузера, расширить его функциональность либо предоставить пользователям дополнительные удобства.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Автор роликов на YouTube борется с ИИ-плагиатом, подсовывая ботам мусор

На YouTube плодятся видеоматериалы, созданные на основе краденого контента с помощью ИИ. Автоматизированный плагиат позволяет мошенникам быстро получать доход с минимальными усилиями, а жертвы сплотились и пытаются дать отпор.

Автор видеоконтента F4mi борется с ИИ-ботами, ворующими расшифровки, вставляя в них большое количество скрытых мусорных данных, Подобное дополнение не мешает пользователям читать тексты, но способно обесценить творение умного помощника, обрабатывающего добычу скрейперов.

Разработанный F4mi метод полагается на использование формата ASS, созданного десятки лет назад для субтитров. Мусор вносится в расшифровки в пропорции 2:1, при этом используются фрагменты из открытых источников либо сгенерированные ИИ выдумки.

Возможности ASS позволяют задать нулевые значения размера и прозрачности вставок, то есть сделать их невидимыми. В результате обработки таких файлов ИИ-пособник мошенников выдает тексты, непригодные для использования.

Автор идеи признает, что более мощные инструменты вроде ChatGPT o1 смогут отфильтровать мусор и правильно воспроизвести оригинал. В этом случае придется еще помудрить над ASS-файлами, чтобы затруднить задачу и таким помощникам.

Поддержки ASS на YouTube не предусмотрено, там отдают предпочтение YTT, но можно использовать конвертер. В мобильной версии YouTube содержимое таких файлов будет отображаться некорректно — в виде черного окна поверх видео.

Изобретательному автору удалось обойти и это препятствие. Был написан Python-скрипт, который прячет мусорные вставки как черный текст на черном фоне. Единственная проблема, которая пока не решена, — это креш, возникающий на слишком тяжелых файлах.

К сожалению, придуманный F4mi трюк не помеха для таких инструментов, как Whisper разработки OpenAI, который сам делает расшифровку аудиозаписей, притом, по отзывам, вполне сносно.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru