Una auditoría de Homebrew, un gestor de paquetes crítico para macOS y Linux, reveló problemas de seguridad no críticos que podrían permitir la ejecución inesperada de código y comprometer los flujos de trabajo de CI/CD.
Los hallazgos clave incluyeron vulnerabilidades en la CLI de brew, como escapes de sandbox y escaladas de privilegios, y problemas en los flujos de trabajo de CI/CD, como vulnerabilidades de inyección de shell.
La auditoría, patrocinada por el Open Tech Fund, tenía como objetivo asegurar la infraestructura crítica de internet, destacando la importancia de la seguridad de Homebrew dado su uso extensivo.
Trail of Bits realizó una auditoría de seguridad integral de Homebrew, un popular gestor de paquetes de código abierto para macOS, revelando varias preocupaciones de seguridad y áreas de mejora.
La auditoría ha generado discusiones sobre los problemas inherentes de seguridad en la cadena de suministro en las plataformas de gestión de paquetes de código abierto, enfatizando la necesidad de mejores procesos de verificación y respuestas más rápidas a fuentes no confiables.
La auditoría ha generado un mayor interés en gestores de paquetes alternativos como Nix, que algunos usuarios consideran más seguros y flexibles, a pesar de su complejidad.
Docker-OSX permite a los usuarios ejecutar macOS en un contenedor Docker con un rendimiento casi nativo, compatible con versiones desde High Sierra hasta Sonoma.
La gestión del proyecto está a cargo de Sick.Codes e incluye características como el reenvío de X11, la investigación de seguridad de iMessage y el traspaso de USB de iPhone.
Esta herramienta es particularmente útil para realizar investigaciones de seguridad en macOS utilizando tanto entornos de Linux como de Windows.
Ejecutar macOS en QEMU dentro de Docker es factible pero tiene limitaciones, especialmente con la aceleración de GPU, ya que las GPU más nuevas de Intel y NVIDIA no son compatibles.
Docker-OSX permite ejecutar máquinas virtuales macOS en Docker, lo cual es beneficioso para compilaciones de iOS utilizando herramientas como Unity o React Native.
La redistribución de imágenes de macOS puede violar el Acuerdo de Licencia de Usuario Final (EULA) de Apple, que restringe macOS al hardware de Apple, sin embargo, el proyecto es popular para el desarrollo y las pruebas.
La afirmación de que el uso de los comandos find y mkdir es Turing completo ha sido retractada debido a una prueba defectuosa.
La discusión involucra detalles técnicos sobre sistemas de archivos, entradas de directorios y la Tabla Maestra de Archivos (MFT) en Windows, así como debates sobre la completitud de Turing de varios sistemas como C y Python.
La conversación también explora aspectos teóricos de las máquinas de Turing, la Regla 110 y la completitud funcional, con una actualización prometida si se corrige la prueba.
Meta ha introducido el Segment Anything Model 2 (SAM 2), un modelo de segmentación para la selección precisa de objetos en imágenes y videos utilizando clics, cuadros o máscaras como entrada.
SAM 2 sobresale en rendimiento sin entrenamiento previo, interactividad en tiempo real y procesamiento eficiente de video, superando a los modelos existentes en segmentación de objetos.
Meta está lanzando un modelo SAM 2 preentrenado, el conjunto de datos SA-V, una demostración y código para la comunidad de investigación, promoviendo la innovación abierta y la investigación adicional.
Meta ha lanzado el Modelo Segment Anything 2, generando un interés significativo en su potencial impacto en la investigación de IA y la industria tecnológica.
Algunos expertos sugieren que Meta está superando a Google en avances de IA y contribuciones comunitarias, lo que podría llevar a nuevas innovaciones y valor empresarial.
La discusión también incluye los esfuerzos de código abierto de Meta y las implicaciones más amplias de la tecnología de IA, así como la dinámica competitiva entre las principales empresas tecnológicas.
El autor sostiene que aplicar sistemas a actividades creativas, como las transiciones de DJ y los patrones de humor, mejora la creatividad al internalizar conocimientos y patrones.
Abogan por un método de aprendizaje que implica memorizar patrones y exponerse a varios casos, lo cual puede aplicarse más allá de lo académico a campos como el deporte y las ventas.
La autora sugiere que dominar los fundamentos a través de sistemas permite una mayor innovación y creatividad a nivel superior, como se observa en la experiencia interdisciplinaria en startups y música.
Creatividad a menudo se vincula con el conocimiento internalizado, que puede ser resultado de la memorización.
Existe un debate sobre si la memorización mecánica es esencial para la creatividad, con algunos argumentando a favor de la importancia de la comprensión y el contexto sobre la mera repetición.
Incorporar conceptos a través de la exposición repetida puede ayudar a desarrollar heurísticas y patrones útiles para aplicaciones creativas.
La experiencia del usuario mostró un retraso significativo al abrir xterm en una máquina con Windows 11 en comparación con una estación de trabajo con Fedora Linux, con Windows tardando alrededor de 1600ms inicialmente.
El perfilado y la depuración revelaron que deshabilitar los efectos de la ventana y ciertas características de xterm, como la barra de herramientas y la emulación de Tektronix, mejoró el rendimiento.
Implementar un modo de servidor con mapeo diferido utilizando una biblioteca LD_PRELOAD redujo aún más el tiempo de inicio a aproximadamente 366ms en Windows, haciéndolo casi tan rápido como en Fedora.
La artículo discute la resolución de problemas de retraso en la terminal, centrándose específicamente en el Depurador de Consola de Microsoft (cdb) y sus comandos para modificar el comportamiento de las funciones.
Destaca el uso del comando eb win32u!NtUserSetLayeredWindowAttributes c3 para deshabilitar una función reemplazando su primer byte con una instrucción ret, haciendo que retorne de inmediato.
La discusión incluye varias experiencias de usuario y métodos para medir y reducir el tiempo de inicio del terminal, como el uso de la herramienta de evaluación comparativa hyperfine y diferentes emuladores de terminal.
La publicación explora cómo llamar a Rust desde Go para reemplazar el código ensamblador, con el objetivo de lograr un costo casi nulo sin requerir un conocimiento profundo de Rust o del compilador.
Rust se elige por su alta capacidad de optimización y legibilidad en comparación con el ensamblador, y el enfoque muestra un mejor rendimiento que el uso de cgo para funciones pequeñas y críticas.
Las pruebas de referencia indican que llamar a Rust desde Go es casi tan rápido como una llamada de función nativa de Go y significativamente más rápido que cgo, lo que lo hace adecuado para tareas críticas de rendimiento.
Rustgo es una herramienta que permite llamar a código Rust desde Go con una sobrecarga casi nula, lo cual es significativo para aplicaciones sensibles al rendimiento.
La discusión destaca las complejidades y posibles escollos de usar la Interfaz de Funciones Extranjeras (FFI) entre diferentes lenguajes de programación, particularmente Go y Rust.
Se hacen comparaciones con otros lenguajes como C# y Python, enfatizando las compensaciones en el rendimiento de FFI y la importancia de elegir la herramienta adecuada para el trabajo.
La autora ha lanzado "Logic for Programmers v0.2", que incluye soporte para epub, resolución de restricciones y contenido de especificación formal.
El autor prefiere reStructuredText (rST) sobre Markdown debido a su superior personalización y extensibilidad, particularmente útil para necesidades de documentación complejas.
Se creó una extensión de ejercicio personalizada en rST para el libro con el fin de manejar diferentes requisitos de renderizado para los formatos HTML, epub y PDF.
reStructuredText (rST) es preferido para libros técnicos debido a su extensibilidad y capacidades semánticas, especialmente cuando se combina con Sphinx.
Markdown es más simple y legible, lo que lo hace ideal para notas rápidas y documentación diaria.
Las características de rST, como los objetos de texto personalizados y la resolución garantizada de enlaces internos, son cruciales para proyectos de documentación complejos, pero la simplicidad y el soporte de Markdown lo hacen más popular para el uso general.
Activision ha lanzado un conjunto de datos de Call of Duty®: Warzone™ Caldera para uso académico, según lo indicado por los metadatos de la página.
La publicación es significativa para los investigadores y académicos interesados en el análisis de datos de juegos y podría fomentar nuevos estudios y perspectivas en la industria del juego.
La serie de datos es accesible a través del blog de Activision, destacando el apoyo de la empresa a la investigación académica y la transparencia de datos.
Activision ha lanzado un conjunto de datos de Call of Duty: Warzone Caldera para uso académico en GitHub, que incluye activos de nivel de juego y datos de movimiento de jugadores.
La serie de datos es útil para la investigación gráfica, el desarrollo de motores, la definición de ubicaciones estratégicas y la prueba de algoritmos de trazado de rayos, con aplicaciones potenciales en el desarrollo de IA y la detección de trampas.
La publicación se considera beneficiosa para fines académicos y de investigación, aunque algunos la ven como una herramienta de reclutamiento debido a su licencia no comercial.
Compilar binarios estáticos con Go en Linux implica banderas y consideraciones específicas, como usar -tags sqlite_omit_load_extension para SQLite si no se utilizan extensiones.
La discusión destaca el uso de WebAssembly (WASM) para SQLite, que ofrece un mejor rendimiento y mantenibilidad en comparación con métodos tradicionales como la transpilación moderna.
Existen desafíos y problemas de rendimiento asociados con el uso de diferentes asignadores e implementaciones de libc, como musl, al construir binarios estáticos de Go, como lo han experimentado empresas como Tailscale.
Se ha desarrollado un prototipo de microprocesador superconductivo de 2.5 GHz, que utiliza 80 veces menos energía que los microprocesadores semiconductores tradicionales, incluso teniendo en cuenta la refrigeración.
La microprocesador MANA, basado en la tecnología de Parametrón de Flujo Cuántico Adiabático (AQFP), contiene más de 20,000 uniones Josephson superconductoras.
Este es el primer microprocesador superconductor adiabático, marcando un avance significativo en la tecnología de computación eficiente en energía.
Investigadores en Japón están desarrollando microprocesadores superconductores ultraeficientes que operan adiabáticamente, evitando teóricamente la pérdida o ganancia de energía durante la computación.
Esta tecnología desafía el principio de Landauer, que establece que borrar información requiere energía, al utilizar la computación reversible con puertas lógicas especiales como la puerta Toffoli para minimizar el gasto de energía.
A pesar de su prometedora eficiencia, la implementación práctica enfrenta desafíos significativos, particularmente en la refrigeración y la escalabilidad para su uso práctico, y aún requiere energía para establecer los bits iniciales y gestionar el ruido ambiental.
El 19 de julio, un error de configuración en CrowdStrike Falcon, un software de monitoreo de endpoints, causó fallos catastróficos en los sistemas Windows, afectando gravemente al sector bancario y a otras industrias.
La falla provocó interrupciones operativas generalizadas, incluyendo la inactividad de cajeros y banqueros, e incluso causó que algunos bancos se quedaran sin efectivo físico, destacando vulnerabilidades en la infraestructura financiera.
Los reguladores bancarios de EE. UU. influyeron indirectamente en la adopción de tales herramientas de seguridad, que, aunque están destinadas a la protección, pueden introducir vulnerabilidades significativas debido a sus altos privilegios y uso generalizado.
Un error de CrowdStrike causó interrupciones significativas en los bancos debido a una actualización automática que pasó por alto los controles existentes.
La incidencia ha desatado debates sobre los riesgos de depender de un solo proveedor y la necesidad de mejores estrategias de actualización.
A pesar de los problemas generalizados, algunos usuarios experimentaron un impacto mínimo, lo que demuestra la resiliencia de ciertos sistemas.
La instalación ATT de Cheshire, construida en 1966, es un complejo subterráneo diseñado para comunicaciones militares críticas, que cuenta con un cable portador analógico L4 reforzado y un conmutador de 4 hilos AUTOVON.
La instalación incluye una infraestructura extensa para la filtración de aire, la generación de energía y la protección contra explosiones, asegurando la continuidad operativa durante eventos nucleares.
El sitio también sirvió como un cruce metropolitano para Hartford y New Haven, conectando con varios otros caminos y instalaciones de comunicación críticos.
La instalación subterránea "Cheshire" de AT&T Long Lines era un centro de conmutación AUTOVON, construido para soportar una guerra nuclear utilizando la tecnolog ía 1ESS de Western Electric.
Estos centros estaban estratégicamente ubicados lejos de las principales ciudades y objetivos militares, y contaban con enlaces redundantes, estructuras reforzadas y protección contra el enfriamiento y la contaminación para los trabajadores.
La infraestructura, desarrollada durante la Guerra Fría, incluía extensos enlaces de microondas punto a punto y utilizaba tanto conmutadores 1ESS como de barra cruzada número 5, destacando su resiliencia y complejidad.
Los científicos no están seguros de cuándo la atmósfera de la Tierra tuvo suficiente oxígeno para sustentar la vida animal temprana, a pesar de la extensa investigación.
Nuevos hallazgos de Río Tinto, España, sugieren que podría haber habido suficiente oxígeno para la evolución animal casi 2 mil millones de años antes de que aparecieran los animales.
Investigaciones recientes indican que los niveles fluctuantes de oxígeno en el océano, la escasez de alimentos o el tiempo de desarrollo genético, en lugar de los niveles de oxígeno, podrían haber retrasado la evolución animal.
La Gran Oxidación (GOE) marcó un aumento significativo en el oxígeno atmosférico de la Tierra debido a los microbios fotosintéticos durante al menos 400 millones de años.
Este aumento en el oxígeno permitió el desarrollo de formas de vida complejas y la posibilidad de fuego, pero causó una extinción masiva de organismos anaeróbicos.
La GOE es crucial para la astrobiología, ya que altos niveles de oxígeno en exoplanetas pueden indicar actividad biológica potencial, con investigaciones en curso que continuamente refinan nuestra comprensión.
FakeTraveler es una aplicación para Android que permite a los usuarios falsificar la ubicación de su teléfono por motivos de privacidad o para pruebas de aplicaciones.
Los usuarios pueden seleccionar una ubicación a través de un mapa o ingresar coordenadas específicas de latitud y longitud, luego aplicar los cambios.
Para usar FakeTraveler, los usuarios deben habilitar las opciones de desarrollador y configurar FakeTraveler como la aplicación de ubicación simulada.
FakeTraveler es una aplicación de ubicación falsa para Android que permite a los usuarios falsificar la ubicación de su teléfono.
La aplicación es de código abierto y está disponible en F-Droid, un repositorio de aplicaciones Android gratuitas y de código abierto.
A pesar de su funcionalidad, algunos usuarios señalan que puede no eludir ciertas restricciones de aplicaciones, como las de aplicaciones bancarias o Pokémon Go, sin medidas adicionales como rootear el dispositivo.