Atualização do Chromium corrige falha zero-day

Você usa o Chrome ou Edge? Então atualize seu navegador. Foi detectada no começo da semana uma vulnerabilidade grave que afeta todos os navegadores baseados no motor Chromium, ou seja, todos os navegadores que não se chamam Firefox nem Safari. O maior problema está no fato de que esta brecha de segurança já está sendo explorada por criminosos eletrônicos. Embora não tenham sido revelados detalhes da falha, ela oferece a oportunidade para agentes maliciosos de executarem código de forma arbitrária nos dispositivos vulneráveis.

A brecha já foi corrigida nos principais navegadores. Se você costuma deixar a atualização automática ativada, tudo deve estar resolvido. Mas como desgraça pouca é bobagem, depois dessa atualização de emergência, o Google lançou outra para o Chrome, para outra falha zero-day. A versão do Chrome que está protegida é a 112.0.5615.138. Para quem usa o Edge, a versão protegida é a 112.0.1722.48 ou superior. A vulnerabilidade foi descoberta pelo pesquisador Clément Lecigne, do Grupo de Análise de Ameaças do Google, na terça-feira da semana passada, mas foi mantida em sigilo até a correção ficar pronta.

Brasileiro contribui para o Node 20

O Node.js chegou na versão 20 e a principal mudança está na estreia de um Permission Model em fase experimental. Essa funcionalidade habilita os desenvolvedores a restringir o acesso a recursos específicos durante a execução do programa. Ao usar esse modelo de permissão, é possível impedir que seus aplicativos acessem ou modifiquem dados confidenciais ou executem códigos potencialmente nocivos. A novidade foi introduzida no Node.js graças a uma contribuição do desenvolvedor brasileiro Rafael Gonzaga, que estava trabalhando nessa funcionalidade desde julho de 2022.

Outra novidade é o módulo test_runner que está estável. Introduzida no Node.js 18 para execução de testes automatizados, a partir de agora, o módulo test_runner é considerado estável e pronto para uso em ambiente de produção. Outra melhoria é a inclusão de binários para Windows ARM64, permitindo a execução nativa na plataforma. A nova versão do Node.js também atualizou o suporte para o motor V8 de JavaScript, passando a usar a versão 11.3 do V8. Da mesma forma, o parser de URLs Ada também foi atualizado para a versão 2.0, com melhorias de performance.

CEO da OpenAI tem medo de crise de chips, mas Microsoft pode ter solução

As tecnologias da Inteligência Artificial estão evoluindo rápido demais, deixando muita gente nervosa, mas Sam Altman (CEO da OpenAI) tem medo do contrário: que esse progresso seja interrompido a médio prazo. Para Altman, o gargalo vai estar na falta de chips específicos para desenvolvimento, presentes em GPUs. Ele declarou: “acho que estamos no final da era em que existem esses modelos realmente gigantes”. O problema está na escala. Para o pontapé inicial do ChatGPT, foram necessárias mais de 10.000 GPUs e a demanda não para de crescer. Elon Musk teria supostamente encomendado outras 10.000 GPUs para um projeto próprio no Twitter. O bilionário admitiu, sem confirmar números: “Parece que todo mundo e seu cachorro estão comprando GPUs neste momento”.

Esse mercado é dominado pela NVIDIA, que detém 88% da produção. Aparentemente, eles não estão dando conta do volume de solicitações e gigantes como Amazon, Twitter e Google estão em uma fila de espera que pode levar meses para ser atendida. Rumores de bastidores indicam que a Microsoft estaria disposta a entrar nesse mercado, fabricando seus próprios chips para IA. Segundo fontes anônimas, a Microsoft já teria começado os testes iniciais para essa produção ainda em 2019 e os primeiros chips já teriam sido testados no desenvolvimento do GPT-4. O projeto teria o codinome de Athena e, inicialmente, seria destinado para as necessidades internas da nuvem da própria Microsoft e da OpenAI.

Reddit vai cobrar pelo uso de sua API para treinamento de IAs

Acabou o que era doce: a API do Reddit passará a ser paga daqui pra frente. Porém, essa cobrança estaria focada somente em empresas, por causa do abuso que algumas delas estão cometendo atualmente. De acordo com os administradores da plataforma, sem citar nomes, várias empresas estão acessando o vasto conteúdo disponível para treinar LLMs, os “large language models” que são a base das Inteligências Artificiais geracionais e chatbots. Steve Huffman, fundador e CEO do Reddit, foi categórico: “o conjunto de dados do Reddit é realmente valioso. Mas não precisamos dar todo esse valor para algumas das maiores empresas do mundo de graça”. A polêmica que surge é que o conteúdo do Reddit é totalmente gerado por seus usuários, de forma voluntária.

O Reddit ainda não divulgou os valores dos planos, mas garantiu que haverá diferentes modelos de assinatura para empresas de vários tamanhos, com limites de uso e acesso escalonáveis de acordo com os planos contratados. Por outro lado, moderadores de conteúdo do Reddit passarão a contar com um novo conjunto de ferramentas na forma de aplicativos gratuitos para iOS e Android e não será cobrado acesso às APIs da plataforma. O Reddit afirma que desenvolvedores de aplicativos também continuarão com acesso liberado para a API, porém alguns desenvolvedores já estão relatando que o volume de consultas exigido por seus programas é elevado e eles já teriam sido notificados que será necessária uma assinatura.

GitHub quer identificar pacotes npm

Pacotes npm tem se tornado uma fonte de dor de cabeça recentemente, mas o GitHub quer tornar mais fácil comprovar a procedência deles. A partir de agora, todos os projetos npm criados através do GitHub Actions poderão apresentar um identificador de origem, através da flag --provenance. Com esse recurso, os metadados de proveniência do pacote funcionarão como um caminho verificável, que dará garantia aos usuários, vinculando o pacote de volta ao seu repositório de origem, assim como para as instruções de compilação específicas usadas para sua publicação. Dessa forma, desenvolvedores podem checar onde e como o pacote npm foi criado antes de fazer o download.

O objetivo dessa iniciativa é fortalecer a segurança da cadeia de suprimentos. De acordo com o comunicado oficial do GitHub, a plataforma é lar do maior registro de pacotes do mundo e está continuamente buscando melhorias de segurança para garantir que o ecossistema npm permaneça saudável. Eles declararam: “queremos fornecer aos desenvolvedores as ferramentas de que precisam para garantir a integridade de sua cadeia de suprimentos de software”. O GitHub reconhece que não existe uma solução simples para o problema da confiabilidade e que é necessária uma ação constante em todas etapas do ciclo de produção. Porém, com o sistema de proveniência, a plataforma espera aumentar o nível de transparência nos pacotes npm.

Rust Foundation recua e promete revisar proposta de política de marcas

Eu te disse, eu te disse! A comunidade reclamou (nós também reclamamos) e a Rust Foundation ouviu. Na semana passada, uma proposta de política de uso de marcas mexeu com os desenvolvedores. De acordo com o rascunho inicial do documento, estaria proibido o uso sem licença de termos como “Rust” e “Cargo”. Essa decisão impactaria bibliotecas já conhecidas, como intellij-rust, openssl-rust, rust-postgres, que teriam que trocar de nome ou adquirir uma licença. Agora, em um novo comunicado, a entidade que regulamenta a linguagem voltou atrás e pediu desculpas. Eles declararam que vão trabalhar em uma nova versão do documento, assim como informar melhor a comunidade sobre as mudanças pretendidas.

A Rust Foundation afirmou: “durante o período de consulta, ficou claro que muitas pessoas na comunidade Rust tinham dúvidas, preocupações e confusão em torno do rascunho da política”. Eles explicaram que essa era somente uma proposta e que sua função era coletar feedback do ecossistema. Nas palavras deles, “esse processo nos ajudou a entender que o rascunho inicial claramente precisa ser melhorado”. O comunicado oficial afirma que havia muitas críticas válidas, mas a entidade deixou claro que não pode discutir mudanças específicas nesse momento, enquanto consulta seu time legal. Por enquanto, não foi oferecido um prazo para a liberação de um novo rascunho da política de uso.

Microsoft remove publicidade do Twitter, Elon Musk ameaça processar

Essa semana teve fogo no parquinho entre duas Big Techs. A Microsoft anunciou publicamente que irá remover o Twitter de sua plataforma de propaganda. Os anunciantes que utilizam o sistema Smart Campaigns para distribuição de publicidade não terão mais a rede social como opção. Apenas Facebook, Instagram e LinkedIn permanecerão no sistema, a partir do dia 25 de abril. Embora a Microsoft não tenha dado uma explicação para essa decisão, a data denuncia: ela irá acontecer cinco dias antes do fim da gratuidade de acesso da API do Twitter. A partir de 30 abril, grandes empresas precisarão pagar uma assinatura de acesso que pode variar entre US$ 42 mil a US$ 210 mil por mês.

Foi a vez então de Elon Musk reagir à notícia. O bilionário dono do Twitter declarou informalmente na própria plataforma que a Microsoft teria “treinado ilegalmente usando dados do Twitter”. Ele ainda ameaçou: “hora de processar”. Elon Musk não apresentou provas de suas alegações e nem deu um posicionamento oficial sobre consequências jurídicas. Coincidência ou não, o magnata da tecnologia está ativo em combater de frente a tecnologia das Inteligências Artificiais, a bola da vez dentro da Microsoft. Musk puxou a carta aberta pedindo pausa no desenvolvimento do ChatGPT, ao mesmo tempo que dava os primeiros passos para construir sua versão. Nessa semana, ele confirmou o interesse em lançar o 'TruthGPT”, uma ferramenta que “buscaria a verdade”.

Spring Framework tem vulnerabilidade grave que pode ser usada para ataques DoS

A empresa de segurança Code Intelligence encontrou uma falha de segurança grave no Spring Framework, batizada como CVE-2023-20863. A vulnerabilidade permite que agentes maliciosos consigam inserir uma expressão SpEL especificamente manipulada, que pode acionar um cenário de negação de serviço (DoS). A brecha foi descoberta como parte da iniciativa OSS-Fuzz, do Google, para melhorar a segurança do software de código aberto. A Code Intelligence testou projetos com seu mecanismo fuzzing JVM, conhecido como Jazzer, e descobriu o problema. Essa é a segunda vez que a empresa de segurança encontra falhas no Spring nas últimas semanas, mas essa é de longe a brecha mais grave.

A vulnerabilidade afeta diversas versões do Spring Framework e todas as aplicações que dependem dessas versões correm um alto risco de disponibilidade do servidor. Embora ataques ainda não tenham sido identificados explorando essa brecha, a recomendação é que todos os usuários atualizem suas versões imediatamente. Desta forma, os usuários do Spring 6.0.x devem atualizar para 6.0.8 ou superior. Os usuários do Spring 5.3.x devem atualizar para 5.3.27 ou superior. Aqueles que ainda estão utilizando o Spring 5.2.x devem atualizar para 5.2.24.RELEASE ou superior. Quem utiliza versões ainda mais antigas e sem suporte tem agora uma excelente justificativa para fazer o upgrade.

A Semana no Código Fonte TV