/fefe/ – Fefes Kommentarfunktion

PSA angesichts der aktuellen liblzma-Lücke: Es gibt ein Google-Projekt namens wuffs [0] mit Parsern für einige Dateiformate. Das ganze Projekt ist recht spannend, denn die haben da einen Übersetzer gebaut und eine eingeschränkte Programmiersprache. Der Übersetzer nimmt nur Programme an, bei denen er die Abwesenheit von Speicherfehlern und Integerüberläufen beweisen kann.

Die haben auch Dekompressionscode für lzw (GIF), inflate (gzip, zlib), bzip2 und lzma (xz, lzip). Die liefern ein Beispielprogramm namens mzcat mit, das ihre Library benutzt, und innerhalb eines Seccomp-Käfigs läuft, der nur read, write und exit erlaubt. Wenn also eine Lücke übrig bleibt und der Angreifer sie erfolgreich ausnutzt, kann er bloß Müll dekomprimieren, was er auch ohne den Angriff gekonnt hätte.

Die Library hat keine Abhängigkeiten.

Wenn ihr also mal Code schreiben müsst, der Daten dekomprimiert, und ihr wisst nicht, ob ihr denen trauen könnt oder nicht, dann nehmt wuffs.

Oh, und: Deren Dekompressoren sind auch noch signifikant schneller als die Standard-Dekompressoren.

Leider haben sie noch keinen zstandard-Dekompressor, aber der ist geplant.

[0] https://github.com/google/wuffs

https://blog.fefe.de/?ts=990bd317

Dieser Sommer wird voraussichtlich sehr heiß und sehr trocken [0], vergleichbar mit der Dürre von 2018. Bereitet euch mal darauf vor, euren Wasserverbrauch einzuschränken.

Die Bilder des Tages heute [1] haben dieses Bild aus Belgien [2] mit der Beschreibung

>Gänse und Möwen in einem fast trockenen Teich bei Oud-Heverlee in Belgien. Nach Angaben der Wetterexperten ist es mindestens 130 Jahre her, dass das Land einen so trockenen Frühling erlebt hat.

[0] https://www.hna.de/welt/schlimmer-als-2018-blockadewetterlage-baut-sich-ueber-deutschland-auf-zr-93714789.html
[1] https://www.tagesschau.de/multimedia/bilder
[2] https://images.tagesschau.de/image/cd57d9b5-9625-4db2-a6ee-2a3928fb2b35/AAABltJ1O0s/AAABkZLhkrw/16x9-1280/duerre-belgien-100.jpg

https://blog.fefe.de/?ts=96db79b0

China konnte ihre jährlichen CO2-Emissionen senken [0]. Und das bei stark steigender Nachfrage, nicht wegen Covid-Fabrikshutdowns.

Der Einsender fragt:

>Warum können wir sowas eigentlich nicht?

Weil es hier Menschen gibt, die CDU wählen.

[0] https://www.carbonbrief.org/analysis-clean-energy-just-put-chinas-co2-emissions-into-reverse-for-first-time/

https://blog.fefe.de/?ts=96d9e535

Berlin bleibt stabil: berlin.de ist kaputt [0]. Immerhin geht status.berlin.de noch [1].

[0] https://www.berlin.de/
[1] https://status.berlin.de/

https://blog.fefe.de/?ts=96f0ce1d

Wer glaubt, China ist jetzt schon uneinholbar weit vorne, für den habe ich schlechte Nachrichten: China wird bald noch viel weiter vorne sein [0], weil Microsoft angefangen hat, ihre Clouddienstleistungen für chinesische Unis einzustellen.

China wird also tun, was ich hier für Deutschland und Europa schon lange empfehle: Eigenen Scheiß aufbauen. Wir werden dann alle Nachteile der Cloud geschickt mit keinen der Vorteile kombinieren, während China uns nicht mal mehr im Rückspiegel sehen kann und wir immer schön Miete für Copilot und co an Microsoft abdrücken.

Schon erstaunlich, wie blöde ein Land sein kann, dass sich für das Land der Dichter und Denker hält.

[0] https://www.scmp.com/tech/tech-war/article/3305889/microsoft-abruptly-cuts-services-chinese-university-genomics-firm

https://blog.fefe.de/?ts=96d987f8

Wo wir gerade beim Ausmaß der Verzweiflung bei Microsoft waren: Hier ist noch eine schöne Meldung [0]!

>RustAssistant: Using LLMs to Fix Compilation Errors in Rust Code

Ja geil ey! Das wäre eure Chance gewesen, mal irgendwo Kompetenz aufzubauen! Vielleicht gar anderen Marktteilnehmern einen Schritt voraus zu sein!

Ach Scheiß drauf, lass das lieber eine "KI" machen.

Ja aber Cheffe, die "KI" ist kaputt und empfiehlt die ganze Zeit nur Scheiß! Kein Problem!!

>This paper presents a tool called RustAssistant that leverages the emergent capabilities of Large Language Models (LLMs) to automatically suggest fixes for Rust compilation errors. RustAssistant uses a careful combination of prompting techniques as well as iteration between an LLM and the Rust compiler to deliver high accuracy of fixes.

Bei "emergent capabilities" kannst du direkt auflegen. Wenn du dran bleibst, ist "careful prompting techniques" der nächste Auflege-Punkt. Wenn du immer noch dran bleibst, kriegst du bei "iteration between an LLM and the Rust compiler" spätestens einen Schlaganfall.

Ich übersetze mal: Ja, unsere "KI" liefert nur Müll, aber wir probieren halt solange, bis der Compiler es frisst!1!!

m(

[0] https://www.microsoft.com/en-us/research/publication/rustassistant-using-llms-to-fix-compilation-errors-in-rust-code/

https://blog.fefe.de/?ts=96ea53d5

Ah, endlich veröffentlicht mal wieder jemand private Schlüssel auf github [0]!

>An employee at Elon Musk’s artificial intelligence company xAI leaked a private key on GitHub that for the past two months could have allowed anyone to query private xAI large language models (LLMs) which appear to have been custom made for working with internal data from Musk’s companies, including SpaceX, Tesla and Twitter/X, KrebsOnSecurity has learned.

Tja, da arbeiten ja auch die BESTEN der BESTEN der BESTEN, SIR!

[0] https://krebsonsecurity.com/2025/05/xai-dev-leaks-api-key-for-private-spacex-tesla-llms/

https://blog.fefe.de/?ts=96ea69da

Wie ist denn die Malware ins Krankenhaus gekommen?

Die hat der CEO der Cybersecurity-Bude dort installiert [0], um dem Krankenhaus besser sein Schlangenöl andrehen zu können!

Scheiße, Bernd! Das ist ja fast als wäre die ganze Branche bloß organisierte Kriminalität?! Wieso hat uns denn keiner gewarnt?!

[0] https://www.golem.de/news/mit-malware-cybersecurity-ceo-soll-krankenhaus-pcs-infiltriert-haben-2504-195710.html

https://blog.fefe.de/?ts=96f19e33

Aus den Militär-Nachrichten [0]:

>PHNOM PENH, Cambodia — Cambodia and China on Wednesday began their largest-ever joint military exercises, involving advanced Chinese military hardware including artillery, warships and robot battle dogs.

Wait, what?!

Der Einsender spekuliert, dass Japans Cat-Girl-Programm hier als strategische Abwehroption ins Leben gerufen wurde. :-)

[0] https://globalnation.inquirer.net/276939/cambodia-china-begin-largest-ever-military-drills

https://blog.fefe.de/?ts=96daa7e2

Die BVG hatte einen Datenreichtum [0], der offenbar 180.000 Kundendatensätze betrifft.

Money Quote:

>Der Schutz personenbezogener Daten habe für das Unternehmen höchste Priorität. Man achte bei der Auswahl von Dienstleistern auf zertifizierte IT-Sicherheitsstandards.

Eines Tages werdet ihr merken, dass man Sicherheitszertifikate nicht essen kann, um mal einen alten Greenpeace-Aufkleber mit der Brechstange zu adaptieren.

[0] https://www.tagesschau.de/inland/regional/berlin/rbb-hackerangriff-auf-bvg-180-000-kundendaten-betroffen-100.html%C2%B7

https://blog.fefe.de/?ts=96db7134