🪟 Windows Güncellemesi VPN'leri Bozdu - Hafta 18/2024

StoryDiffusion: Consistent Self-Attention for Long-Range Image and Video Generation

Stable Diffusion, Story Diffusion adında çizgi roman ve video üretmenizi sağlayan yeni modelini duyurdu. Bu modelin çizgi roman kısmı şu an açık kaynak ve indirip kullanabilirsiniz. Video kısmı da ilerleyen zamanlarda açık kaynak olacak ve kendi bilgisayarınızda metinden veya resimden video üretebileceksiniz.

•Yupeng Zhou1* Daquan Zhou2‡† Mingming Cheng1 Jiashi Feng2 Qibin Hou1‡†

🔒 Güvenlik

Hackerlar, sahte yazılım mülakatı yaparak geliştirici adaylarının bilgisayarına zararlı yazılım yüklüyor! Sizinle mülakat için paylaştıkları yazılım deposunda görünürde bir sorun yok ama imageDetails.js adında bir dosyada gizlenmiş bir kod bulunuyor. Siz npm ile paketleri yüklerken arka planda bu kod çalışıyor ve sisteminize zararlı yazılım yüklüyor. İş görüşmesi aldığınız yerlere dikkat edin.

Fake job interviews target developers with new Python backdoor

A new campaign tracked as “Dev Popper” is targeting software developers with fake job interviews in an attempt to trick them into installing a Python remote access trojan (RAT).

Android TVs Can Expose User Email Inboxes - Slashdot

Android TV'nize Google hesabınızla giriş yapmak, hesabınız için risk oluşturabilir. Çünkü Android TV'de herhangi bir kimlik doğrulaması yapılmadığından TV'nize fiziksel olarak erişebilen herhangi birisi Google Chrome yükleyerek bütün hesabınıza erişebilir, hatta alışveriş dahi yapabilir. Genelde insanlar Android TV'lerini iş yerinde sağda solda bırakabiliyor. Siz de bu kişilerden birisiyseniz Android TV'niz için ayrı bir Google hesabı açmanızı tavsiye ederim.

Some Android-powered TVs can expose the contents of users’ email inboxes if an attacker has physical access to the TV. Google initially told the office of Senator Ron Wyden that the issue, which is a quirk of how software is installed on these TVs, was expected behavior, but after being contacted by…

Cybersecurity researchers spotlight a new ransomware threat – be careful where you upload files

Tarayıcıdan bir dosya yüklemek istediğinizde ve siteye klasörü okuma izni verdiğinizde bu site klasörünüzdeki dosyaları şifreleyebiliyor ve bildiğiniz ransomware saldırısı gerçekleştirebiliyor. Henüz gerçekten böyle bir şey yaşanmamış ama araştırmacılar bunun mümkün olduğunu gösterdiler. Bu saldırı tarayıcı üzerinden olduğu için anti virüslerin bunu yakalaması da zorlaşıyor. Şimdilik bir siteye klasörü okuma izni verirken dikkat edin.

Modern web browsers are increasingly becoming like virtual computers, able to send email and play music and videos. The downside is it’s a new way for hackers to get into your computer.

The Conversation •Selcuk Uluagac

Wordpress'te 38 bin kullanıcısı olan WordPressAutomatic adlı eklentideki açık, saldırganın SQL enjeksiyonu yapmasıyla admin olmasına neden oluyor. Buradan da WordPress sunucunuza zararlı yazılım yükleyerek sunucunuza zarar verebiliyor. Eklentinin içeriğine baktığımda başka sitelerdeki yazıları yapay zeka ile yeniden yazmanıza olanak sağlıyor. Aslında iyi bir amaca hizmet eden eklenti değil yani. Günün sonunda yüklediğiniz WordPress eklentilerine oldukça dikkat etmenizi tavsiye ederim.

Hackers try to exploit WordPress plugin vulnerability that’s as severe as it gets

WP Automatic plugin patched, but release notes don’t mention the critical fix.

Ars Technica •Dan Goodin

Chrome artık yaptığınız TLS bağlantılarına kuantum şifreleme mekanizmasını getirdiği için bazı sitelere erişirken hata alabilirsiniz. Bu sorunun nedeni sunucu tarafının gelen ekstra veriyi düzgün halledememesi. Sunucu sahipleri kendi sitelerine Chrome'dan erişip erişemediklerini kontrol etsinler ve eğer ki erişilemiyorsa gereken önlemleri alsınlar.

Google Chrome’s new post-quantum cryptography may break TLS connections

Some Google Chrome users report having issues connecting to websites, servers, and firewalls after Chrome 124 was released last week with the new quantum-resistant X25519Kyber768 encapsulation mechanism enabled by default.

UK Becomes First Country To Ban Default Bad Passwords on IoT Devices - Slashdot

Birleşik Krallık, internet cihazlarında varsayılan parolaları yasaklayan ilk ülke oldu. Bu da demek oluyor ki aldığınız router gibi cihazlarda admin-admin şifresi geliyorsa şirketi dava edebilirsiniz.

The United Kingdom has become the first country in the world to ban default guessable usernames and passwords from these IoT devices. Unique passwords installed by default are still permitted. From a report: The Product Security and Telecommunications Infrastructure Act 2022 (PSTI) introduces new mi…

Google rejected 2.28 million risky Android apps from Play store in 2023

Google, 2023 yılında Play Store'a girmeye çalışan 2.28 milyon uygulamayı güvenlik nedeniyle reddetti. Çoğu insan Apple'ın güvenlik konusunda katı kuralları olduğunu ve Google'ın olmadığını söyler ama aslında Google da milyonlarca uygulamayı güvenlik nedeniyle reddediyor. Buna rağmen iki tarafta da zararlı yazılımlar görebiliyoruz.

Google blocked 2.28 million Android apps from being published on Google Play after finding various policy violations that could threaten user’s security.

FBI warns of fake verification schemes targeting dating app users

Oltalama saldırıları dating uygulamalarına da geldi. Eşleşmenin ardından dolandırıcı hızlıca şifrelenmiş mesaj platformlarına geçmeye çalışıyor ve sabıka kaydınız olup olmadığını doğrulamak için size bir bağlantı atıyor. Siz bu bağlantıya tıkladığınızda kayıt olurken doğrulama yapabilmek için kart bilgilerinizi istiyor ve o dakikadan sonra geçmiş olsun. Bu herhalde şu an Türkiye'de yapılmıyor ama yapsalar iyi para kazanırlar çünkü Türkiye'deki erkekler tuvalet kağıdına bile sağa kaydırıyorlarmış diye duydum.

The FBI is warning of fake verification schemes promoted by fraudsters on online dating platforms that lead to costly recurring subscription charges.

New Wpeeper Android malware hides behind hacked WordPress sites

Üçüncü parti mağazadan indirdiğiniz uygulamalara dikkat edin. Uptodown adlı popüler bir mağazayı taklit eden bir zararlı yazılım komut ve kontrol sunucusunu Wordpress sitelerine saklıyormuş. Böylece trafik normal gözüküyor. Arka planda da bu yazılım dosya indirip çalıştırabiliyor. Bu tarz haberleri koymamın nedeni internetten indirdiğiniz APK'ların gerçekten güvenli olduğuna emin olmanız gerektiğini sizlere hatırlatmak.

A new Android backdoor malware named ‘Wpeeper’ has been spotted in at least two unofficial app stores mimicking the Uptodown App Store, a popular third-party app store for Android devices with over 220 million downloads.

Google now pays up to $450,000 for RCE bugs in some Android apps

Google yazılım açığı ödüllerini arttırdı. Uzaktan kod çalıştırma açığına artık 300 bin dolar gibi bir ödül veriyorlar. Yalnız günün sonunda bu açıklara daha fazla para ödeyen ve kötü amaçlarda kullanan başka bir şirket her zaman olacak. Umuyoruz açığı bulan hackerlar aydınlık tarafı seçerler.

Google has increased rewards for reporting remote code execution vulnerabilities within select Android apps by ten times, from $30,000 to $300,000, with the maximum reward reaching $450,000 for exceptional quality reports.

CISA says GitLab account takeover bug is actively exploited in attacks

ABD'nin siber güvenlik kurumu GitLab'te iki faktörlü doğrulama içermeyen hesapların kolay bir şekilde çalınabilmesini neden olan bir güvenlik açığı keşfetti. Şifre doğrulama mesajnızı kendi e-postanıza göndererek bunu başarabiliyorsunuz. Muhtemelen konu hakkında güvenlik güncellemeleri yayınlanmıştır. GitLab sunucunuz varsa mutlaka güncellemelerinizi yapın.

CISA warned today that attackers are actively exploiting a maximum-severity GitLab vulnerability that allows them to take over accounts via password resets.

Dropbox says hackers stole customer data, auth secrets from eSignature service

Dropbox'ın doküman imzalamanızı sağlayan e-sign platformu hacklendi. Kullanıcıların erişim tokenlerine, iki faktörlü doğrulama anahtarlarına ve hashlenmiş şifrelere erişim sağlandı. Dropbox Sign platformunu kullanıyorsanız, şifrelerinizi ve iki faktörlü doğrulamanızı yenilemenizi tavsiye ediyorum.

Cloud storage firm Dropbox says hackers breached production systems for its Dropbox Sign eSignature platform and gained access to authentication tokens, MFA keys, hashed passwords, and customer information.

BleepingComputer •Lawrence Abrams

Geçtiğimiz aylarda Windows'ta Bitlocker şifrelemesini aşmanızı sağlayan bir açık keşfedilmişti. Bu açık kapatıldı kapatılmasına ama otomatik olarak güncellemeyle kapatılamıyordu. Elle diski yeniden boyutlandırmanız ve belli işlemler yapmanız gerekiyor. Bunun için Microsoft bir script yayınlasa da otomatik olarak güncellemeyle bunu çözemeyeceğini duyurdu. Yani bu durumdan etkilenen birisiyseniz mutlaka Microsoft tarafından yayınlanan scriptleri bilgisayarınızda uygulamanızı tavsiye ederim.

Microsoft won’t fix Windows 0x80070643 errors, manual fix required

Microsoft has confirmed that it won’t provide an automated fix for a known issue causing 0x80070643 errors when installing recent Windows Recovery Environment (WinRE) updates.

Message-scraping, user-tracking service Spy Pet shut down by Discord

🥸 Mahremiyet

Geçtiğimiz haftalarda spy[.]pet adındaki bir sitenin herkese açık Discord mesajlarını takip edip sattığını konuşmuştuk. Discord bu siteyi kapatmayı başardı. Mahremiyet açısından güzel bir gelişme ama şu an buna benzer başka bir servisin çalışıyor olabileceği de bir gerçek. Henüz herkese açık verilerin satılması konusunda tam bir çözüme kavuşmuş değiliz.

Bot-driven service was also connected to targeted harassment site Kiwi Farms.

Ars Technica •Kevin Purdy

ABD mobil servis sağlayıcıları kullanıcıların haberi olmadan gerçek zamanlı lokasyon verilerini üçüncü partilere satıyormuş. Bunu tespit eden FCC bu firmalara milyonlarca dolar ceza verdi. Gerçi bu cezaları da faturaları yükselterek çıkarırlar. Acaba bu durum Türkiye'de de geçerli mi? Gerçekten bunu yapsalar da sorgulayan üstüne giden bir kurum yok bildiğim kadarıyla.

FCC Fines Wireless Carriers $200 Million For Sharing Customer Data - Slashdot

The Federal Communications Commission has fined the nation’s largest wireless carriers for illegally sharing access to customers’ location information without consent and without taking reasonable measures to protect that information against unauthorized disclosure. From a report: Sprint and T-Mobil…

NVIDIA make it easier to get GeForce NOW on Steam Deck

🎮 Oyun

NVIDIA, Geforce Now'ın, Steam Deck'lerde daha kolay yüklenmesi için resmi bir script hazırladı. Bu script sizin için Google Chrome'u Flatpak üzerinden kuruyor ve gamepad yapılandırmasını yapıyor. Steam Deck'in Linux oyunculuğuna yine pozitif bir katkı sağladığını görüyoruz.

Showing just how popular the Steam Deck is, NVIDIA are officially making it easier to get their cloud gaming service GeForce NOW on Steam Deck.

GamingOnLinux •Liam Dawe

📰 Bahsetmeye Değer Haberler

Bir sonraki büyük Windows 11 güncellemesinde eğer ki bilgisayarınız belirlenen standartlara uymuyorsa "Bu bilgisayar YZ özelliklerini desteklemiyor" metni filigran olarak köşede çıkacak. Tıpkı Windows'u etkinleştir filigranı gibi. Peki nedir bu minimum özellikler diye soracak olursanız şu an bildiğimiz kadarıyla en az 16 GB RAM'iniz olması ve işlemcinizin SSE4.2 komut setini desteklemesi gerekli. Bir seferlik uyarı da yeterli olurdu. Bence bunun için filigran koyulmamalı. Birçok insanı sinirlendirmekten başka bir işe yaramayacaktır.

Windows 11 will reportedly display a watermark if your PC does not support AI requirements

File Explorer, Copilot and DirectX are some of Windows 11’s functions that will use AI

Tom's Hardware •Roshan Ashraf Shaikh

YouTube, videoları durdurduğunuzda reklam göstermeyi test ediyor. Şu anlık sadece televizyonlarda bunu test etse de görünüşe göre pozitif sonuçlar almışlar ve bunu daha fazla cihaza açacaklar. Tabii bir anda herkeste görülmeyebilir ama önümüzdeki günlerde videoyu durdukça reklam görmeyi bekleyin. Bir açıdan üreticiler olarak işimize geliyor ama ilginç bir şekilde YouTube herkese eşit derecede reklam göstermiyor. Reklam izlemeyi seven kitleye daha fazla reklam gösterirken reklamlar nedeniyle kolayca platformdan ayrılan kişilere daha az reklam gösteriyor. Dolayısıyla bu değişim herkesi aynı etkilemeyebilir ama zaten bizim okurlarımızı hiç etkileyeceğini zannetmiyorum.

Google is feeling pretty pumped about a new way of showing you ads on YouTube

Google says pause ads on YouTube are getting a very positive reaction from advertisers. The company could roll them out widely soon.

Android Authority

Mozilla, WhatsApp'ın seçim öncesi yanlış bilgi yaymasını engellemek adına bir kampanya başlattı. Diyecek olabilirsiniz ki WhatsApp'ta uçtan uca şifreleme var. WhatsApp bu konuda ne yapabilir ki? Mozilla, burada eğer ki bir mesaj çok fazla yönlendirilmişse, yönlendirilen mesajın kendisine bir uyarı eklemeyi istiyor. "Bu mesaj çok yönlendirildi, lütfen içeriği doğrulayın." Bence mantıklı bir yaklaşım olabilir. Özellikle bir mesaj yüzlerce, binlerce defa yönlendirildiyse kullanıcıların en azından kafasına bir soru işareti koymak güzel bir şey. Siz de dilerseniz aşağıdaki bağlantıdan kampanyaya katılabilirsiniz.

WhatsApp Must Act to Protect Elections

Mozilla is making an urgent call for WhatsApp to implement three simple changes in its product to slow the spread of political disinformation and other harmful content on its platform.

Mozilla Foundation

Geçtiğimiz günlerde birçok Apple kullanıcısının hesaplarından durduk yere otomatik çıkış yapıldı ve tekrar hesaplarına giriş yapabilmeleri için şifrelerini yenilemeleri gerekti. Kimse tam olarak bunun neden olduğunu bilmiyor ve resmi bir açıklama yok. Ama görünüşe göre yüzlerce insan etkilenmiş. Apple'ın konu hakkında açıklama yapmaması ise garip. Siz de bu durumdan etkilendiniz mi?

Apple users are being locked out of their Apple IDs with no explanation - 9to5Mac

There appears to be an increasingly widespread Apple ID outage of some sort impacting users tonight. A number of people…

9to5Mac •Chance Miller

Japonya polisi telefon dolandırıcılarını engellemek için mağazalara sahte ödeme kartları yerleştirdiler. Yaşlılar bu kartları satın almaya çalıştığında mağaza görevlileri bu kişilere dolandırıldıklarını anlatacakmış. Ayrıca polis bu mağazalara da bunun için para veriyor. Dolandırıcılarla savaşmanın ilginç bir yolu.

Japanese police create fake support scam payment cards to warn victims

Japanese police placed fake payment cards in convenience stores to protect the elderly targeted by tech support scams or unpaid money fraud.

Elon Musk says it’s his turn to have the remote

X için sırada TV uygulaması var. Evet yanlış duymadınız, X TV uygulaması duyurdu. Muhtemelen X'te var olan videoları izlemenize olanak sağlayacak ama başka kişilerle anlaşma yapıp X'e özel video üretmelerini de isteleyebilirler. Çıkış tarihiyse henüz belli değil.

X just announced a smart TV app for streaming video content. X TV may or may not launch at some point in the near or far future.

Engadget •Lawrence Bonk

Bir milletvekilinin yaptığı açıklamaya göre TikTok'un Türkiye'de yasaklanması için bir teklif hazırlanıyor. Biliyorsunuz TikTok ABD'de kapanmak üzere, geçmişte Hindistan'da yasaklamıştı ve bu durumu Türkiye takip edebilir. Yalnız iki ülkede de ulusal güvenlik nedenleriyle yasaklama kararı almışlardı. Milletvekilimiz konuşmasında TikTok'un ahlaki yönlerden sakıncalı olduğunu vurgulamış. Muhtemelen teklifin içerisinde ulusal güvenlik konuları dahil edilecektir ama bakalım ilerleyen gelişmeler nereye varacak?

TikTok’un Türkiye’de Yasaklanması İçin Teklif Hazırlanıyor!

Milletvekili Halil Öztürk, TikTok’un Türkiye’de yasaklanması için teklif üzerinde çalıştıklarını açıkladı.

Webtekno •Webtekno

Razer 2021 yılında Zephyr adında 100 dolarlık bir RGB maske üretip satıyordu. İddiasına göre bu maskeler N95 filtreleri içerse de görünüşe göre gerçekten içermiyormuş ve FTC'nin aldığı kararla 1.1 milyon dolarlık satışın hepsini geri iade etmesi gerekiyor. Üstüne bir de 100 bin dolar ceza yemiş, yalan yanlış bilgi verdiği için. Bu maskeler galiba Türkiye'de hiç satılmadı ama FTC güzel bir karar vermiş bu konu hakkında.

FTC fines Razer for every cent made selling bogus “N95 grade” RGB masks

“Deceptive advertising and misinformation posed a risk to public health.”

Ars Technica •Scharon Harding

Rusya orijinal Vikipedi'yi kopyalamış, işine geldiği gibi değiştirmiş ve ardından orijinalini banlamış. Bizde de Vikipedi yasaklanmıştı ama bari sadece yasaklanmıştı. Rusya hükumeti "Vikipedi yalan yanlış bilgilerle dolu, biz sizin için düzelttik." diyerek kendi klon Vikipedilerini açmışlar.

Russia Clones Wikipedia, Censors It, Bans Original - Slashdot

Jules Roscoe reports via 404 Media: Russia has replaced Wikipedia with a state-sponsored encyclopedia that is a clone of the original Russian Wikipedia but which conveniently has been edited to omit things that could cast the Russian government in poor light. Real Russian Wikipedia editors used to…

Apple will bring sideloading and other EU-mandated changes to iPadOS this fall

Apple, Dijital Piyasalar Yasasına uyum sağlamak için bu yılın sonlarına doğru AB'de iPadOS'e değişiklikler yapması gerekecek. iOS'te olduğu gibi alternatif mağazlara izin verme ve üçüncü parti tarayıcı motorlarına izin vermesi gerekecek. Tabii iOS'te de bunu yarım yamalak yaptılar. Android gibi bir şey söz konusu değil. AB'nin bu noktada yapılan değişiklikleri gözden geçirmesi lazım bence. Bu arada kâr amacı gütmeyen ücretsiz bir uygulamaysanız veya devlet uygulaması gibi şeyler geliştiriyorsanız Apple üçüncü parti mağazalardan kestiği "Core Technology" ücretini sizden almayacakmış. Bu da pozitif yönde bir gelişme.

Company also updates fee policy for devs who don’t use Apple’s App Store.

Ars Technica •Andrew Cunningham

Apple, iOS 17'de alarmların çalışmadığını ve bunun bir yazılım hatası olduğunu doğruladı. Bunun çözümü için çalışıyorlarmış.

Is Your iPhone’s Alarm Not Playing a Sound? Apple Working on Fix

Apple today said it is working on a fix for an iPhone software bug that has resulted in some alarms in the Clock app failing to play a sound at the…

MacRumors •Joe Rossignol

Nisan 2024 güvenlik güncellemesi Windows 10 ve 11'deki VPN bağlantılarını bozuyor. Çözümüyse henüz yok. Tek çözümü bu güvenlik güncellemesini kaldırmanız gerekecek. Son zamanlarda Microsoft'un yaptığı güncellemeler sistemi daha fazla bozmaya başladı gibi.

Microsoft says April Windows updates break VPN connections

Microsoft says the April 2024 Windows security updates break VPN connections on Windows 11, Windows 10, and Windows Server systems.

Windows 10 Reaches 70% Market Share as Windows 11 Keeps Declining - Slashdot

Bu ay Windows 10'un pazar payı %70'e gelirken Windows 11'in pazar payı %26'ya geriledi. Görünüşe göre insanlar Windows 11'i kullanmak istemiyor veya yeteri kadar insan Windows 11'e yükseltemiyor. Bakalım 2025'te Windows 10 desteği gerçekten kesilecek mi? Çünkü sayılar böyleyken kesilmesi çok saçma olur.

Windows 11’s market share dropped in April 2024, falling below 26% after reaching an all-time high of 28.16% in February. According to Statcounter, Windows 11 lost 0.97 points, while Windows 10 gained 0.96 points, crossing the 70% mark for the first time since September 2023. Neowin adds: Some argue…

dmca/2024/04/2024-04-29-nintendo.md at master · github/dmca

Nintendo, Yuzu'nun peşini bırakmıyor. Github'a yaptıkları yeni telif başvurusunda Github'daki Yuzu forklarının bağlantılarını vermişler ve silinmesini talep etmişler. Github'da doğal olarak silmiş. Yuzu'nun kodunu internetten hiçbir zaman yok edemezler ama en azından Github'da barındırılmasını ve geliştirilmesini engelleyebilirler.

Repository with text of DMCA takedown notices as received. GitHub does not endorse or adopt any assertion contained in the following notices. Users identified in the notices are presumed innocent u…

GitHub •github

Google'ın 2022 yılında Apple'da varsayılan arama motoru olmak için ne kadar para ödediği ortaya çıktı. 20 milyar dolar. Varsayılanların neden önemli olduğunu umuyorum şimdi herkes daha iyi anlıyordur. Google için bir platformda varsayılan olmanın değeri 20 milyar dolar ki muhtemelen bu paradan daha fazlasını kazanıyor.

Google, Apple cihazlarda varsayılan arama motoru olmak için 20 milyar dolar ödedi

Google, iPhone, iPad ve Mac’teki Safari’nin varsayılan arama motoru olmak için Apple’a 2022 yılında 20 milyar dolar ödedi.

Webrazzi •Gözde Ulukan

Spotify'da müzik dinlerken sözleri görme özelliği premiuma taşındı. Ücretsiz kullanıcılardansanız artık bu özelliği kullanamayacaksınız.

Spotify Hides Song Lyrics Behind Paywall - Slashdot

Several users on Reddit have noticed that Spotify has started hiding song lyrics behind a paywall. “This means you won’t be able to sing along unless you know the lyrics already, or are willing to look them up in another app,” reports Android Police. From the report: Still, you lose the convenience…