Una vulnerabilità di WinRAR recentemente chiusa monitorata con il codice CVE-2025-8088 è stata sfruttata in attacchi di phishing mirati prima del rilascio della patch. Il problema era un Directory Traversal ed è stato risolto solo in WinRAR 7.13. il bug permetteva agli aggressori di creare archivi speciali che, una volta decompressi, finivano in una directory specificata dall’aggressore, anziché nella cartella selezionata dall’utente. Questo meccanismo permetteva di aggirare le restrizioni standard e di iniettare codice dannoso in directory critiche di Windows.

A differenza dello scenario usuale, quando la decompressione porta a una posizione predefinita, la vulnerabilità ha permesso di sostituire il percorso per reindirizzare il contenuto alle cartelle di avvio del sistema operativo. Tra queste directory vi sono la cartella di avvio di un utente specifico (%APPDATA%MicrosoftWindowsStart MenuProgramsStartup) e la cartella di avvio del sistema per tutti gli account (%ProgramData%MicrosoftWindowsStart MenuProgramsStartUp). Al successivo accesso al sistema, qualsiasi file eseguibile inserito tramite la vulnerabilità veniva avviato automaticamente, il che di fatto ha dato all’aggressore la possibilità di eseguire codice da remoto senza l’intervento della vittima.

Il problema riguardava solo le edizioni Windows di WinRAR, RAR, UnRAR, le loro versioni portatili e la libreria UnRAR.dll. Le varianti per piattaforme Unix, Android e i relativi codici sorgente non presentavano questa vulnerabilità.

La situazione era resa particolarmente pericolosa dal fatto che WinRAR non dispone di una funzione di aggiornamento automatico. Gli utenti che non monitoravano il rilascio di nuove versioni potevano rimanere sotto attacco per mesi senza accorgersene. Gli sviluppatori raccomandano vivamente di scaricare e installare manualmente WinRAR 7.13 dal sito web ufficiale win-rar.com per eliminare la possibilità di sfruttare questo errore.

La vulnerabilità è stata identificata dagli specialisti di ESET Anton Cherepanov, Peter Koszynar e Peter Stricek. Quest’ultimo ha confermato che è stata utilizzata in vere e proprie campagne di phishing per installare il malware RomCom. Gli attacchi consistevano nell’invio di e-mail con allegati archivi RAR contenenti l’exploit CVE-2025-8088.

RomCom è un gruppo noto anche come Storm-0978, Tropical Scorpius o UNC2596. È specializzato in attacchi ransomware, furto di dati, estorsione e furto di credenziali. Utilizza un malware proprietario per persistere nel sistema, rubare informazioni e creare backdoor che forniscono accesso segreto ai dispositivi infetti.

Il gruppo è noto per il suo ampio utilizzo di vulnerabilità zero-day negli attacchi e ha collaborato con altre operazioni ransomware, tra cui Cuba e Industrial Spy. L’attuale campagna che sfrutta una vulnerabilità in WinRAR è solo l’ultimo esempio di come RomCom combini sofisticate tecniche di hacking con l’ingegneria sociale per aggirare le difese e penetrare nelle reti aziendali.

ESET sta già preparando un rapporto dettagliato sull’incidente, che descriverà nei dettagli i metodi di sfruttamento e i dettagli tecnici degli attacchi identificati.

L'articolo Hai fatto doppio click su WinRAR? Congratulazioni! Sei stato compromesso proviene da il blog della sicurezza informatica.

Beyblade spinning tops are pretty easy to find at toy shops, department stores, and even some supermarkets. However, the arenas in which the tops do battle? They’re much harder to come by, and the ones on sale in any given market often leave a lot to be desired. [LeftBurst] got around this problem by printing a grandiose Beyblade arena.

[LeftBurst]’s desire was to score a Beyblade stadium more similar to those featured in the anime, which are much larger than those sold as part of the official toy line. [Buddha] was enlisted to model the massive arena, but it then needed to be printed. Given its size, printing it in one piece wasn’t very practical. Instead, [LeftBurst] decided to print it in segments which would then have to be assembled. Super glue was used to put all the parts together, but there was more left to do. The surface finish and joins between the parts would cause issues for tops trying to move across the surface. Thus ensued a great deal of post-processing with primer, putty, and a power sander.

The final result is a massive stadium that plays well, and is ideal for larger multi-Beyblade battles that are more akin to what you’d see in the anime. If you’re playing at this scale, you might appreciate some upgraded launcher technology, too.

youtube.com/embed/oJp4mSX93kw?…

hackaday.com/2025/08/09/3d-pri…

Alla conferenza Black Hat di Las Vegas, VisionSpace Technologies ha dimostrato che è molto più facile ed economico disattivare un satellite o modificarne la traiettoria rispetto all’utilizzo di armi antisatellite. È sufficiente trovare e sfruttare le vulnerabilità nel software che controlla il dispositivo stesso o nelle stazioni di terra con cui interagisce. Olhava ha sottolineato che in passato ha lavorato presso l’Agenzia Spaziale Europea, dove ha ripetutamente segnalato vulnerabilità nell’infrastruttura IT delle stazioni di terra, ma, non avendo atteso le soluzioni, ha deciso di farlo da solo.

Negli ultimi 20 anni, il numero di satelliti operativi è cresciuto da meno di 1.000 a circa 12.300, secondo l’Agenzia Spaziale Europea. Una parte significativa di questi sono satelliti Starlink di SpaceX, ma anche il numero di piattaforme militari è aumentato significativamente a causa delle tensioni geopolitiche. A ciò si aggiunge il fatto che i satelliti sono diventati più economici da sviluppare e lanciare, accelerandone la proliferazione.

Tuttavia, la crescita del numero di dispositivi è accompagnata da problemi di sicurezza del software di controllo. Un esempio è il sistema aperto Yamcs, utilizzato dalla NASA e da Airbus per comunicare e controllare i dispositivi orbitali. Nel suo codice sono state trovate cinque vulnerabilità , che hanno consentito di ottenere il pieno controllo del sistema. Nell’ambito della dimostrazione, gli specialisti hanno mostrato come inviare un comando per accendere i motori e modificare l’orbita del satellite, in modo che questo non venga visualizzato immediatamente nell’interfaccia operatore. L’esperimento è stato condotto in un simulatore e i dispositivi reali non sono stati danneggiati.

La situazione si è rivelata ancora peggiore in OpenC3 Cosmos, un altro sistema aperto per il controllo dei dispositivi dalle stazioni di terra. Qui sono state identificate sette vulnerabilità , tra cui la possibilità di eseguire codice da remoto e condurre attacchi cross-site scripting. Anche la NASA non è stata esente da problemi: sono stati rilevati quattro difetti critici nel pacchetto Eagle del Core Flight System (cFS) : due che portano a un denial of service, una vulnerabilità di path traversal e una falla che consente l’esecuzione remota di codice arbitrario. Tali errori possono disabilitare il software di bordo e dare agli aggressori il controllo completo sui sistemi.

Anche la libreria di crittografia open source CryptoLib, utilizzata su molti satelliti, non è sfuggita a gravi problemi. Nella versione utilizzata dalla NASA sono state rilevate quattro vulnerabilità, mentre il pacchetto standard ne presentava sette, due delle quali valutate criticamente. Secondo Startsik, alcuni degli errori scoperti consentono all’intero software di bordo di bloccarsi con una semplice richiesta non autenticata, causando un riavvio e, se il dispositivo è configurato in modo errato, tutte le chiavi di crittografia vengono reimpostate. In questo caso, il sistema è completamente esposto a ulteriori interventi.

Tutti i difetti identificati sono stati trasferiti agli sviluppatori e sono già stati corretti. Tuttavia, gli specialisti di VisionSpace sono convinti che sia impossibile affidare il controllo del veicolo orbitale a soluzioni non sicure e presumono che altre vulnerabilità critiche possano persistere nel software utilizzato.

L'articolo Satelliti Sotto il controllo degli Hacker: “è più semplice hackerarli che usare armi satellitari” proviene da il blog della sicurezza informatica.

One reason Forth remains popular is that it is very simple to create, but also very powerful. But there’s an even older language that can make the same claim: LISP. Sure, some people think that’s an acronym for “lots of irritating spurious parenthesis,” but if you can get past the strange syntax, the language is elegant and deceptively simple, at least at its core. Now, [Daniel Holden] challenges you to build your own Lisp as a way to learn C programming.

It shouldn’t be surprising that LISP is fairly simple. It was the second-oldest language, showing up in the late 1950s with implementations in the early 1960s. The old hardware couldn’t do much by today’s standards, so it is reasonable that LISP has to be somewhat economical.

With LISP, everything is a list, which means you can freely treat code as data and manipulate it. Lists can contain items like symbols, numbers, and other lists. This is somewhat annoying to C, which likes things to have particular types, so that’s one challenge to writing the code.

While we know a little LISP, we aren’t completely sold that building your own is a good way to learn C. But if you like LISP, it might be good motivation. We might be more inclined to suggest Jones on Forth as a good language project, but, then again, it is good to have choices. Of course, you could choose not to choose and try Forsp.

hackaday.com/2025/08/09/learn-…

Per la prima volta, è stato dimostrato che un robot può non solo eseguire comandi, ma anche programmare il proprio “sistema cerebrale“, dall’inizio alla fine. Questa svolta è stata dimostrata da Peter Burke, professore di ingegneria elettrica e informatica presso l’Università della California, Irvine. Nel suo preprint, descrive come, utilizzando modelli di intelligenza artificiale generativa, sia possibile creare una stazione di comando e controllo completa per un drone, non posizionata a terra, come di solito accade, ma direttamente a bordo del velivolo.

L’idea è che il progetto chiami “robot” due oggetti contemporaneamente. Il primo è l’intelligenza artificiale che genera il codice del programma, il secondo è un drone basato su Raspberry Pi Zero 2 W che esegue questo codice. Il controllo del volo viene solitamente effettuato tramite una stazione di terra, ad esempio utilizzando i programmi Mission Planner o QGroundControl che comunicano con il drone tramite un canale di telemetria. Questo sistema svolge le funzioni di un “cervello” intermedio, dalla pianificazione della missione alla visualizzazione in tempo reale. Un firmware di basso livello, come Ardupilot, viene eseguito a bordo del drone, mentre un sistema di navigazione autonomo, come ROS, è responsabile delle attività più complesse.

Burke ha dimostrato che, con il giusto tasking, i modelli di intelligenza artificiale generativa possono essere incaricati di scrivere l’intera suite software, dall’interazione con MAVLink alla creazione di un’interfaccia web. Il risultato è WebGCS: un server web situato sulla scheda stessa del drone, che fornisce un ciclo di controllo completo in volo. L’utente può connettersi a questo sistema tramite rete e impartire comandi tramite un browser mentre il dispositivo è in volo.

Il progetto è stato implementato in più fasi, attraverso una serie di sprint con diversi strumenti di intelligenza artificiale: Claude , Gemini , ChatGPT , nonché ambienti di sviluppo specializzati come Cursor e Windsurf . Nella fase iniziale, le sessioni con Claude includevano richieste di scrittura di codice Python per far volare il drone a 15 metri, creare una pagina web con un pulsante di decollo, visualizzare una mappa con la posizione GPS e consentire di cliccare per specificare una destinazione. L’intelligenza artificiale avrebbe poi dovuto generare uno script di installazione, inclusa l’intera struttura dei file. Tuttavia, a causa della finestra di contesto limitata, Claude non è stato in grado di elaborare l’intera catena di richieste.

La sessione di Gemini 2.5 fallì a causa di errori negli script bash e Cursor ha prodotto un prototipo funzionante, che tuttavia richiese un refactoring, poiché il volume di codice superava i limiti del modello. Il quarto sprint con Windsurf ebbe successo: richiese 100 ore di lavoro umano in 2,5 settimane e si concluse con la creazione di 10.000 righe di codice. A titolo di confronto, il progetto Cloudstation, con funzionalità simili, fu sviluppato in 4 anni grazie all’impegno di diversi studenti.

Il risultato evidenzia un’importante limitazione dell’intelligenza artificiale moderna: la sua incapacità di gestire efficacemente dimensioni di codice superiori a 10.000 righe. Secondo Burke, questo è coerente con ricerche precedenti , che hanno dimostrato che l’accuratezza del modello Claude 3.5 di Sonnet su LongSWEBench scende dal 29% al 3% all’aumentare del contesto da 32.000 a 256.000 token.

Nonostante la natura futuristica del progetto, gli sviluppatori hanno previsto un elemento di controllo: l’intervento manuale tramite un trasmettitore di backup è sempre stato possibile durante il processo. Ciò è necessario dato il potenziale dei sistemi di navigazione autonoma, che stanno già attirando l’attenzione dell’industria militare e dell’intelligenza artificiale spaziale.

Geolava ha definito l’esperimento di Burke una pietra miliare: secondo l’azienda, l’assemblaggio autonomo di un centro di comando nel cielo apre la strada a un nuovo paradigma di intelligenza spaziale, in cui sensori, pianificazione e processo decisionale vengono combinati in un unico insieme in tempo reale. Anche piattaforme parzialmente automatizzate come Skydio stanno già iniziando a cambiare l’approccio all’analisi dell’ambiente.

L'articolo Un passo verso la guerra autonoma. Un drone può programmare in autonomia il suo “sistema cerebrale” proviene da il blog della sicurezza informatica.

Sensitive content Clicca per aprire/chiudere

Dopo che il mio account Instagram è stato bloccato e ne ho creato uno nuovo, ho ricontattato i miei vecchi compagni di scuola e, dopo tanto tempo, ci siamo ritrovati a cena insieme. Il ristorante di barbecue era davvero delizioso.

Dear Friend of Press Freedom,

It’s the 136th day that Rümeysa Öztürk is facing deportation by the United States government for writing an op-ed it didn’t like, and the 55th day that Mario Guevara has been imprisoned for covering a protest. Read on for more, and click here to subscribe to our other newsletters.

Paramount’s $36 million babysitter

Paramount and Skydance Media finally completed their merger this week. To get there, Paramount paid $16 million to settle President Donald Trump’s absurdly frivolous lawsuit against CBS News, while Skydance reportedly will chip in $20 million in Trump-friendly PSAs.

So now Trump will leave them alone, right? Of course not. Skydance also committed to Federal Communications Commission chair and Trump bootlicker Brendan Carr to appoint a “bias ombudsman.” Skydance CEO David Ellison assured skeptics that the position will be a “transparency vehicle, not an oversight vehicle.” He promised that “we’re not being overseen by the FCC or anyone else.”

Carr sees it differently. He told The Washington Post’s Jeremy Barr that the FCC is in a “trust but verify posture,” noting that “when you make a filing at the FCC, we have rules and regulations that deal with false representations to the agency.” He added, “I’m confident that we’re going to stay in touch with [Skydance and Paramount] and track this issue.”

It sure sounds like Carr’s leaving the door wide open to threaten regulatory action whenever CBS broadcasts something he doesn’t like. Carr — who intends to monitor bias while wearing the president’s bust as a lapel pin — is the poster child for why the Constitution bars the government from meddling in newsrooms’ editorial decisions. Carr has also said he’s keeping his FCC’s nonsense investigation into CBS open, giving him another cudgel to wield if journalists forget who’s boss. There’s $36 million well spent.

Freedom of the Press Foundation (FPF) Advocacy Director Seth Stern talked more about Carr’s censorial antics and our attorney disciplinary complaint against him on Legal AF’s “Court of History” podcast on the MeidasTouch network. Watch it here.

FPF’s barrage of FOIAs seeks to combat secrecy

Since our Freedom of Information Act request exposed the lies underpinning the Trump administration’s crackdown on leaks to journalists, FPF has filed over 100 more FOIAs to learn how the administration is targeting journalists and stifling dissent.

We put together a list of our top 10 most urgent FOIA requests. Read more here.

How federal law enables retaliation against incarcerated journalists

These days the president of the United States files frivolous lawsuits at an alarming clip, including against news outlets that displease him. He’s far from the only prominent public figure abusing the federal court system in this way.

And yet, Congress has not seen fit to pass a federal “anti-SLAPP” law to stop powerful billionaires and politicians from pursuing strategic lawsuits against public participation. But powerless prisoners? That’s another story. If they want access to the federal courts, they need to navigate the Prison Litigation Reform Act — a maze of onerous procedural requirements.

We hosted a webinar with incarcerated journalist Jeremy Busby and two attorneys from the American Civil Liberties Union, Nina Patel and Corene Kendrick, to hear more about how the law silences journalism. Read and watch here.

Don’t let the leading voice for digital journalists be silenced

For decades, the National Press Photographers Association has protected the rights of news photographers and videographers. But recently, NPPA announced that it faces financial difficulties. We spoke to NPPA’s longtime General Counsel, Mickey Osterreicher, about NPPA’s work and the impact on the First Amendment if it shutters. You can support the NPPA’s programs here.

Privacy policy update

We’ve updated FPF’s privacy policy to include a new payment processor and our use of Fight for the Future’s activism APIs. See the updated policy for details.

What We're Reading

The price of approval: How Paramount sold out the First Amendment for a merger

Protect the Protest
FPF’s Stern spoke to Protect the Protest — a coalition of nonprofit organizations fighting back against Strategic Lawsuits Against Public Participation, of which we are a proud member — about what the Paramount merger means for press freedom.

Ohio reporter’s notebook searched by Secret Service at Vance fundraiser

U.S. Press Freedom Tracker
This is an obvious violation of reporters’ rights. Secret Service members should have basic First Amendment training, especially if they are going to be dispatched in the field.

New York Times responds to Benjamin Netanyahu’s lawsuit threat: “An increasingly common playbook”

Deadline
The government that has killed more journalists than all other countries combined over the last few years shouldn’t be lecturing a newspaper about anything — let alone an obviously true story.

US appeals court upholds SEC ‘gag rule’ over free speech objections

Reuters
An unfortunate decision, but this might be one of the rare instances when this Supreme Court accidentally does some good. We wrote last year about how this rule impacts the press.

Home Depot and Lowe's share data from hundreds of AI cameras with cops

404 Media
First, the Electronic Frontier Foundation filed a public records request that uncovered how Home Depot and Lowe’s are cooperating with cops. Then, 404 Media made the story free thanks to their commitment to dropping paywalls for public records-based reporting.

Govt. website ‘glitch’ removes Trump’s least favorite part of Constitution

Rolling Stone
We’re skeptical of the government’s excuses for deleting habeas corpus from an online copy of the Constitution. Let us guess, the next “glitch” makes the First Amendment disappear?

Law strikes back: Lawyers doing Trump’s bidding targeted where integrity still matters

MSNBC
Rachel Maddow discussed our disciplinary complaint against Carr as an example of using the legal profession’s standards “as a way to stand up and push back against” attacks on the press.

freedom.press/issues/paramount…

ora avrei bisogno di aiuto..

Mio fratellino (storia lunghissima che racconterò, forse, un'altra volta) è ipovedente.
Purtroppo essendo nato sordo, non parla nemmeno. Grazie agli impianti cocleari sente e capisce quasi tutto, ma non emette suoni.
Grazie alla tecnologia, però, sta imparando a comunicare. Sa leggere e scrivere al computer, anche se solo su nostro input, mai in modo spontaneo.
Usa una tastiera fisica per ipovedenti, con tasti grandi e ad alto contrasto, e la gestisce discretamente bene.
Recentemente ci siamo dotati di una lavagna interattiva per supportare il suo percorso educativo e di sviluppo.
Ho collegato la tastiera alla lavagna, ma non vuole usarla: preferisce stare in piedi e utilizzare quella virtuale direttamente sullo schermo della smart board (o forse semplicemente associa la tastiera fisica al computer... poco importa!).

Problema: la tastiera virtuale dobbiamo ri-attivarla spesso, inserire il CAPS LOCK (sa leggere e scrivere solo in maiuscolo) e con certe app non funziona..
Ecco perché avrei bisogno di una tastiera virtuale — che rimanga sempre visibile, o almeno di facile attivazione, sullo schermo della smart board — ad alto contrasto e con lettere maiuscole. La lavagna è basata su android.

Grazie se qualcuno può aiutarmi

#tastiera #ipovedenti #LavagnaInterattiva #smartboard #AltoContrasto #android #supporto #sordociechi

Più o meno una volta al mese, torno a scrivere qualcosa 😁
Le cose stanno iniziando ad andare meglio (non lavorativamente), anche se il mio tempo libero è sempre pochissimo.
Comunque domenica mattina partiamo in vacanza e non vedo l'ora. Abbiamo proprio bisogno di ricaricarci un po'. Andremo in Slovenia 😀

Io, molto a rilento, sto cercando di togliere google e tanto altro schifo dalla mia vita. E questo mi fa sentire bene.

Si è registrato un aumento del 14% delle richieste arrivate alla nostra infoline: da Liguria e Lazio il maggior numero di chiamate in proporzione al numero degli abitanti

580 le richieste di aiuto alla morte volontaria

Negli ultimi 12 mesi sono arrivate 16.035 richieste di informazioni sul fine vita tramite il Numero Bianco(06 9931 3409), coordinato da Valeria Imbrogno, compagna di Dj Fabo, e attraverso le email dirette all’Associazione Luca Coscioni. Una media di 44 richieste al giorno, in crescita del 14 per cento rispetto all’anno precedente.

Si tratta di un servizio attivo tutti i giorni per ascoltare, orientare e informare sulle possibilità offerte oggi dall’ordinamento italiano in materia di fine vita, su temi come eutanasia e suicidio medicalmente assistito, testamento biologico, interruzione delle terapie e sedazione palliativa profonda. In assenza di risposte istituzionali adeguate, il servizio aiuta a costruire percorsi legali e umani verso la libertà di scelta sul fine vita.

Nel dettaglio, le richieste hanno riguardato soprattutto eutanasia e suicidio medicalmente assistito (circa 5 al giorno), ma anche interruzione delle terapie e sedazione palliativa profonda (più di una al giorno). Sono inoltre aumentate le domande pratiche per accedere alla morte volontaria medicalmente assistita in Svizzera o attraverso percorsi legali in Italia, arrivate da 580 persone (51 per cento donne, 49 per cento uomini), contro le 533 dell’anno precedente.

Sulla base delle informazioni disponibili sulla provenienza geografica di chi ha contattato il servizio, quando fornite, è stata elaborata una proiezione regionale ponderata per popolazione, che restituisce una fotografia della richiesta di aiuto a morire in Italia.

datawrapper.dwcdn.net/jsJTr/1/!function(){"use strict";window.addEventListener("message",function(a){if(void 0!==a.data["datawrapper-height"]){var e=document.querySelectorAll("iframe");for(var t in a.data["datawrapper-height"])for(var r,i=0;r=e[i];i++)if(r.contentWindow===a.source){var d=a.data["datawrapper-height"][t]+"px";r.style.height=d}}})}();

La classifica delle regioni con il maggior numero di richieste rapportate a 100.000 abitanti vede al primo posto la Liguria con 48 ogni 100.000 abitanti, seguita dal Lazio con 43 richieste. Al terzo posto si posiziona la Toscana con 35, affiancata dal Friuli Venezia Giulia. Seguono Umbria, Emilia-Romagna e Lombardia con 33 richieste. Poi Piemonte con 28, il Veneto e le Marche con 26.

L'articolo Più di 16mila persone hanno contattato il Numero Bianco nell’ultimo anno proviene da Associazione Luca Coscioni.