В Zoom устранили три бреши, позволяющие внедрить команды и вызвать DoS

В Zoom устранили три бреши, позволяющие внедрить команды и вызвать DoS

В Zoom устранили три бреши, позволяющие внедрить команды и вызвать DoS

Разработчики популярного сервиса для видеоконференций Zoom устранили уязвимости в линейке своих решений: Zoom Meeting Connector Controller, Zoom Virtual Room Connector, Zoom Recording Connector и т. п. Выявленные баги позволяли внедрить команды и получить полный контроль над сервером.

Уязвимости обнаружил специалист компании Positive Technologies Егор Димитренко. Одна из дыр (CVE-2021-34414), получившая 7,2 балла по шкале CVSS 3.1, позволяла потенциальному атакующему провести инъекцию вредоносного кода.

Эта брешь затрагивала следующие приложения Zoom: Meeting Connector Controller, Meeting Connector MMR, Recording Connector, Virtual Room Connector и Virtual Room Connector Load Balancer.

Вторая проблема получила идентификатор CVE-2021-34415 и 7,5 баллов по шкале CVSS 3.0. С помощью этого бага можно было вызвать сбой в работе софта и сорвать конференцию. Разработчики выпустили патч с версией Zoom On-Premise Meeting Connector Controller 4.6.358.20210205.

CVE-2021-34416 — третья брешь (5,5 баллов) также позволяла внедрить произвольные команды. Этот баг охватывал приличное число приложений: Meeting Connector, Meeting Connector MMR, Recording Connector, Virtual Room Connector и Room Connector Load Balancer.

По словам экспертов Positive Technologies, все выявленные уязвимости существовали из-за недостаточной проверки вводимых пользовательских данных.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Apple учит гуманоидов с Vision Pro: человек показывает — робот делает

Исследователи из Apple совместно с MIT, Carnegie Mellon, Университетом Вашингтона и UC San Diego придумали интересный способ обучать гуманоидных роботов: надеваем Vision Pro, записываем действия человека — и робот учится повторять.

Да, это примерно как «смотри, как я делаю, и делай так же».

Команда собрала более 25 000 человеческих и 1 500 роботизированных демонстраций — получился датасет PH2D. На его основе они обучили единую модель, способную управлять настоящим гуманоидом в реальном мире.

Смысл в том, чтобы использовать видео от первого лица: человек взаимодействует с предметами — открывает ящики, переставляет вещи, нажимает кнопки. А робот потом учится делать то же самое, не нуждаясь в дорогом ручном управлении.

Для съёмки использовали приложение для Apple Vision Pro, которое задействует камеру в нижней части устройства и ARKit для отслеживания 3D-движений головы и рук.

Чтобы сделать всё подешевле, учёные придумали простое 3D-печатное крепление для камеры ZED Mini Stereo, чтобы использовать её с гарнитурами вроде Meta (корпорация Meta признана экстремисткой и запрещена в России) Quest 3. Получилось почти то же самое — но дешевле и доступнее.

 

Замедлить, чтобы успеть

Поскольку человек двигается намного быстрее, чем робот, все человеческие демонстрации замедлили в 4 раза. Так роботу проще учиться без дополнительных переделок.

Human Action Transformer (HAT)

Главная звезда исследования — модель HAT (Human Action Transformer). Её особенность в том, что она обучается на данных от людей и роботов одновременно и не делит их по источникам. В результате получается универсальная политика, которая работает на любых «телах» — человеческих или механических.

И это даёт результат: в тестах роботы, обученные по такой схеме, справлялись даже с незнакомыми задачами — лучше, чем при обычном подходе.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru