Durante un’intervista con Jim Cramer, conduttore del programma Mad Money, il CEO di NVIDIA, Jen-Hsun Huang, ha ricordato un episodio chiave del passato che lo vide protagonista insieme a Intel.

L’intervista, riportata il 9 ottobre da Fast Technology, ha rivelato dettagli interessanti sull’evoluzione del rapporto tra le due aziende, un tempo acerrime concorrenti e oggi partner strategici.

All’inizio degli anni 2000, Intel rappresentava il punto di riferimento assoluto nel settore informatico, con una posizione dominante sia nei prodotti consumer che in quelli professionali. In quel periodo, NVIDIA collaborava con Intel per la produzione di chipset, ma successivamente decise di sviluppare internamente la propria tecnologia.

Questa scelta generò una controversia legale relativa ai diritti di licenza, che si concluse con una vittoria per NVIDIA. Nel corso dell’intervista, Huang ha ricordato ironicamente quel periodo dichiarando che “Intel ha trascorso 33 anni cercando di distruggerci”, sottolineando però che si trattava di un commento scherzoso.

Oggi, la situazione è completamente diversa: le due società collaborano attivamente.

Huang ha spiegato che la chiave di questa nuova alleanza risiede nella sua amicizia personale con l’attuale CEO di Intel, Lip-Bu Tan.

Secondo il numero uno di NVIDIA, la cooperazione tra le due aziende rappresenta un passo importante verso una sinergia strategica nel campo dell’hardware per l’intelligenza artificiale, settore in rapida trasformazione.

“Non siamo più rivali, ma amici”, ha concluso Huang, evidenziando come la competizione del passato si sia trasformata in un rapporto di collaborazione che punta a rafforzare entrambe le parti nel nuovo panorama tecnologico globale.

L'articolo Intel e NVIDIA: da rivali storici a partner nel nuovo mercato dell’intelligenza artificiale proviene da il blog della sicurezza informatica.

È stata scoperta una nuova vulnerabilità, CVE-2025-61984, in OpenSSH. Consente l’esecuzione di codice remoto (RCE) manipolando il parametro ProxyCommand e la gestione dei caratteri della shell.

Lo sfruttamento è possibile anche con protezioni contro i metacaratteri standard della shell, a causa dell’uso di caratteri di controllo ed errori di sintassi che non interrompono l’esecuzione dei comandi in alcune shell.

OpenSSH fornisce il meccanismo ProxyCommand per la connessione tramite un proxy intermedio. In genere, viene utilizzato in questo modo: ProxyCommand /usr/bin/nc -X connect -x 192.0.2.0:8080 %h %p . Tuttavia, nella configurazione di ~/.ssh/config, se viene specificato %r, il nome utente potrebbe contenere caratteri di controllo.

Sebbene la maggior parte dei caratteri pericolosi siano filtrati, come ;, |, (, ), &, in precedenza non filtrati erano “\n” (nuova riga), $, [ e altri, che in alcune shell possono modificare il comportamento del comando. Questo comportamento consente a un aggressore di costruire un valore di nome utente falso contenente un comando dannoso dopo l’errore sulla prima riga.

Se un repository Git contiene un sottomodulo dannoso con un URL del tipo url = “$[+]nsource poc.sh n@foo.example.com :foo”, e l’utente ha la seguente riga in ~/.ssh/config: ProxyCommand some-command %r@%h:%p, la clonazione con git clone –-recursive eseguirà la seconda riga (source poc.sh) se la shell utilizzata è Bash, Fish o csh. Ciò è possibile perché l’errore di sintassi $[+] causa un’interruzione di riga. Zsh, a differenza di altre shell, interrompe automaticamente tali errori.

Teleport è uno degli strumenti interessati, che genera un ProxyCommand con %r nella configurazione tsh. Questo consente a un aggressore che conosce il nome del cluster di avviare un attacco tramite sottomoduli git.

La patch OpenSSH abilita il filtraggio rigoroso dei caratteri di controllo nella funzione valid_ruser(): if (iscntrl((u_char)s[i])) return 0;. Si consiglia inoltre: aggiornare a OpenSSH 10.1; modificare ProxyCommand per utilizzare gli apici singoli: ‘%r’ per evitare interpretazioni; disabilitare SSH nei sottomoduli: git config –global protocol.ssh.allow user; disabilitare i gestori URL per ssh:// se consentono i caratteri di controllo; passare a shell con un comportamento più rigoroso (ad esempio Zsh).

Sebbene l’attacco richieda una configurazione specifica , è un ulteriore esempio della complessità e dell’imprevedibilità delle interazioni tra git, SSH e gli interpreti shell. Anche senza uno sfruttamento diretto, tali vulnerabilità dimostrano l’importanza di una gestione rigorosa dell’input utente negli strumenti da riga di comando e di automazione.

L'articolo Il PoC è online per OpenSSH! Remote Code Execution (RCE) tramite ProxyCommand proviene da il blog della sicurezza informatica.

Due vulnerabilità critiche nell’archiviatore 7-Zip consentivano l’esecuzione di codice remoto durante l’elaborazione di file ZIP. Le falle riguardano il modo in cui il programma gestisce i collegamenti simbolici all’interno degli archivi, consentendo l’attraversamento delle directory e la sostituzione dei file di sistema.

I problemi sono tracciati con gli identificatori CVE-2025-11002 e CVE-2025-11001. In entrambi i casi, un aggressore deve semplicemente preparare un archivio ZIP con una struttura speciale, inclusi link che puntano a directory esterne.

Quando una versione vulnerabile di 7-Zip decomprime tale archivio, il programma segue il link ed estrae il contenuto oltre la cartella di destinazione. Ciò consente la sostituzione o l’iniezione di componenti dannosi in aree critiche del sistema.

Un potenziale attacco potrebbe apparire così: viene creato un archivio contenente un elemento che fa riferimento, ad esempio, a una libreria dannosa nella directory system32. Se un file di questo tipo viene decompresso da un processo con privilegi di amministratore, la libreria viene inserita nella directory di sistema e può essere avviata automaticamente, tramite un’utilità di pianificazione o quando viene caricato un modulo necessario. Lo sfruttamento non richiede privilegi elevati; è sufficiente l’interazione dell’utente con l’archivio dannoso.

Secondo i team di ricerca, la minaccia è particolarmente pericolosa per i sistemi aziendali in cui i file ZIP vengono elaborati automaticamente, ad esempio durante i backup, la condivisione di file o l’installazione di aggiornamenti. In tali scenari, l’iniezione di codice arbitrario potrebbe compromettere l’intera infrastruttura.

Gli sviluppatori di 7-Zip hanno risolto le vulnerabilità nella versione 25.00. L‘aggiornamento implementa un controllo rigoroso del percorso e blocca i link simbolici che si estendono oltre la directory di estrazione. Gli autori del problema sono stati avvisati il 2 maggio 2025, con una correzione pubblicata il 5 luglio e un annuncio pubblico il 7 ottobre.

Gli esperti raccomandano di installare la versione più recente del programma e di controllare i sistemi che decomprimono automaticamente gli archivi. I segnali di un hack possono includere la presenza di librerie o file eseguibili sconosciuti in directory protette e la presenza di file ZIP con percorsi sospettosamente lunghi.

Mantenere il software aggiornato, controllare i registri delle transazioni e filtrare i contenuti degli archivi rimangono difese affidabili contro tali attacchi.

L'articolo 7-Zip vulnerabile: exploit tramite link simbolici consente di iniettare codice malevolo proviene da il blog della sicurezza informatica.

The European Pirate Party is proud to officially endorse the European Citizens’ Initiative for Psychedelic Assisted Therapy, a campaign calling on the European Commission to support research, access, and responsible regulation of psychedelic-assisted therapy.

Mental health remains one of the most pressing public health challenges of our time. Across Europe, millions of people are struggling with depression, PTSD, anxiety disorders and other mental health conditions. Traditional treatment options do not work for everyone — which is why new, evidence-based approaches are urgently needed.

Psychedelic-assisted therapy has shown strong clinical potential in recent research, but legal barriers, outdated stigma, and lack of harmonized EU policies continue to block progress. This ECI aims to change that by calling for a European strategy to support scientific research, training, and safe access to these therapies under medical supervision.

“This is an important opportunity for the EU to take mental health seriously and to base its decisions on science rather than outdated fear. Psychedelic-assisted therapy offers real hope to many people for whom existing treatments are not enough. Supporting research and responsible regulation is not just sensible policy — it’s a matter of human dignity.”
— Florian Roussel, Chair of the European Pirate Party

The European Pirates stand firmly for evidence-based policy, personal autonomy, and human rights. We believe mental health policy should be guided by scientific evidence and respect for individual choice, not by stigma or fear.

This European Citizens’ Initiative is a unique democratic tool that allows citizens to place issues directly on the EU agenda — but it needs one million signatures to succeed.

Sign the initiative today and help us push the EU toward a modern, rational, and compassionate approach to mental health care. Every signature counts.

european-pirateparty.eu/why-yo…

USB power has become ubiquitous — everything from phones to laptops all use it — so why not your lab bench? This is what [EEEngineer4Ever] set out to do with the BenchVolt PD USB adjustable bench power supply. This is more than just a simple breakout for standard USB PD voltages, mind you; with adjustable voltages, SCPI support, and much more.

The case is made of laser-cut acrylic, mounted to an aluminum base, not only providing a weighted base but also helping with dissipating heat when pulling the 100 W this is capable of supplying. Inside the clear exterior, not only do you get to peek at all the circuitry but there is also a bright 1.9-inch TFT screen showing the voltage, current, and wattage of the various outputs. There is a knob that can adjust the variable voltage output and navigate through the menu. Control isn’t limited to the knob, mind you; there also is a Python desktop application to make it easy changing the settings and to open up the possibility to integrate its control alongside other automated test equipment.

There are five voltage outputs in this supply: three fixed ones—1.8 V, 2.5 V, and 3.3 V—and two adjustable ones: 0.5-5 V and 2.5-32 V. All five of these outputs are capable of up to 3 A. There are also a variety of waveforms that can be output, blurring the lines between power supply and function generator. While the BenchVolt PD will be open-sourced, [EEEngineer4Ever] will soon be releasing it over on CrowdSupply for those interested in one without building one themselves. We are big fans of USB PD gear, so be sure to check out some other USB PD projects we’ve featured.

youtube.com/embed/S_CAUgKZTTw?…

hackaday.com/2025/10/10/benchv…