Изначальный игнор бага от Microsoft привёл к публикации деталей EoP-дыры
Главная » Новости

Изначальный игнор бага от Microsoft привёл к публикации деталей EoP-дыры

Екатерина Быстрова 20 Августа 2021 - 09:59
...
Изначальный игнор бага от Microsoft привёл к публикации деталей EoP-дыры

Недопонимание между исследователями из Google Project Zero и Microsoft привело к раскрытию подробностей уязвимости в Windows, приводящей к повышению привилегий в системе. Сначала могло показаться, что Project Zero сам нарушил 90-дневный срок, но потом стало понятно, что Microsoft не смогла определиться с планами по выпуску патча.

8 июля представители Google Project Zero направили техногиганту из Редмонда все необходимые сведения в отношении бреши. Прошло чуть больше месяца, а исследователи уже выложили информацию о дыре в общий доступ. Почему так произошло?

Дело в том, что Microsoft не смогла чётко обозначить свои планы по выпуску обновления, которое бы устранило уязвимость в Windows. Именно поэтому специалисты Project Zero не стали больше тянуть с раскрытием технических деталей.

18 июля представители Microsoft заявили, что разработчики не будут готовить патч для бага, поскольку эксплуатация требует обхода AppContainer — песочницы, предназначенной для проверки Windows-программ до их полноценного запуска.

Учитывая необходимость компрометации песочницы, корпорация обозначила, что «это не проблема, и мы не будем устранять баг». Чуть позже Microsoft уже поменяла своё мнение, чуть лучше разобравшись в сути уязвимости.

Как объяснил в отчёте Джеймс Форшоу из Project Zero, исследователи просто приняли в качестве ответа первоначальную позицию Microsoft: мы не будем заморачиваться работой над патчем.

Также Форшоу указал на корень проблемы: правила платформы Windows Filtering Platform (WFP) по умолчанию допускают подключение к TCP-сокетам исполняемых файлов в AppContainers. Эта особенность может позволить атакующим повысить свои права в системе.

В настоящее время разработчики Microsoft готовят к выходу патч для описанной Форшоу бреши.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Разработчики из России сократили расходы на ИИ-разметку втрое
Екатерина Быстрова 05 Августа 2025 - 14:25
GenAI (генеративный искусственный интеллект) Общее
Разработчики из России сократили расходы на ИИ-разметку втрое

Российские исследователи и разработчики из R&D-центра Т-Технологий, AIRI, ВШЭ, Университета Иннополис и Центра практического ИИ Сбера создали ATGen — инструмент, который помогает значительно сократить затраты на сбор и разметку данных для обучения генеративных языковых моделей. По их расчётам, расходы можно уменьшить в три раза.

Разработку представили на конференции ACL 2025 в Вене — одной из крупнейших в области вычислительной лингвистики.

Главная проблема при обучении ИИ для конкретных задач, например в юриспруденции или медицине, — это стоимость данных. Разметка требует либо привлечения экспертов, что дорого, либо значительных затрат на доступ к API больших языковых моделей. ATGen помогает обойтись меньшим объёмом данных — и при этом сохранить или даже улучшить качество модели.

Он работает по принципу активного обучения: модель сама выбирает, какие примеры ей нужны, чтобы эффективнее учиться. Это позволяет сократить объём ручной разметки в 2–4 раза.

ATGen — это не просто код. В нём есть:

  • все современные стратегии активного обучения (AL) для генерации текста,
  • веб-интерфейс для настройки, отслеживания процесса и просмотра результатов,
  • поддержка локальных и облачных языковых моделей, включая OpenAI и Anthropic,
  • поддержка batch API OpenAI — ещё один способ сэкономить на разметке,
  • встроенные инструменты оценки качества моделей.

Разработчики провели серию тестов на четырёх популярных задачах: ответы на вопросы (TriviaQA), решение задач (GSM8K), понимание текста (RACE) и суммаризация (AESLC). Стратегии активного выбора данных, такие как HUDS, HADAS и Facility Location, показали лучшие результаты по сравнению со случайной выборкой.

Оказалось, что чтобы достичь того же качества модели, что и при случайном отборе данных, достаточно размечать всего треть от объёма — это и даёт в итоге трёхкратную экономию.

ATGen объединяет сразу несколько вещей: современные методы активного обучения, автоматическую разметку с помощью больших моделей, удобный интерфейс и инструменты оценки качества. Это упрощает создание кастомных генеративных моделей — даже для небольших команд.

Фреймворк уже выложен на GitHub и распространяется под открытой лицензией MIT.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Axiom JDK и Аладдин Р.Д. предложили замену Microsoft CA для КИИ
Новость
Axiom JDK и Аладдин Р.Д. предложили замену Microsoft CA для...
Вредонос Konfety для Android прячется в фейковых APK и скрывает код
Новость
Вредонос Konfety для Android прячется в фейковых APK и скрыв...
Битрикс24 обновился: новый интерфейс, ИИ-помощник и защищённый чат
Новость
Битрикс24 обновился: новый интерфейс, ИИ-помощник и защищённ...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.