Unisoc Yongalarda Milyonlarca Telefonu Etkileyen Sıfır Tık Zinciri; WordPress'te Kimlik Doğrulamasız SQL Enjeksiyonu Keşfedildi
Bu hafta güvenlik dünyası iki kritik açıkla sarsıldı. Araştırmacılar, Unisoc T606/T616 yonga setine sahip Motorola Moto G04s, G24, G34 ve E24 modellerini etkileyen, CVSS 9.8 puanlı “Operation Silent Rescue” saldırı zincirini belgeledi. Zincir, onarılamaz bir BootROM açığını (CVE-2022-38694) sahte LTE sinyalleriyle tetiklenebilen bir modem uzaktan kod yürütme hatasıyla (CVE-2025-31718) birleştirerek, kullanıcı etkileşimi olmadan tam cihaz erişimi sağlıyor. Eş zamanlı olarak, WordPress çekirdeğinde REST batch endpoint'indeki senkronizasyon hataları nedeniyle kimlik doğrulamasız SQL enjeksiyonuna (CVE-2026-63030, CVE-2026-60137) izin veren bir dizi açık ortaya çıkarıldı. Ayrıca, NAT Slipstreaming v2.0 tekniği ile tarayıcı üzerinden NAT ve güvenlik duvarlarının aşılabildiği gösterildi.
Yapay zeka cephesinde açık kaynak modeller için önemli bir dönüm noktası yaşandı. Mozilla'nın 2026 State of Open Source AI raporuna göre, açık ağırlıklı modeller OpenRouter üzerinden işlenen token'ların çoğunluğunu işliyor ve kapalı modellerle arasındaki yetenek farkı %8'den %3'e indi. GPT-4 sınıfı çıkarım maliyeti ise yaklaşık 50 kat düştü. Buna karşın, açık modeller benimsenmede önde olmasına rağmen (%79'a karşı %71) üretime geçişte geride kalıyor.
Mühendislik pratiğini doğrudan etkileyen iki teknik gelişme öne çıktı. İlki, WebAuthn PRF uzantısını kullanarak passkey'lerin hem kimlik doğrulama hem de veri şifreleme anahtarı olarak kullanılması. pknotes adlı uçtan uca şifreli notlar uygulaması, ana parola olmadan yalnızca passkey ile şifreleme yapılabileceğini kanıtladı. İkincisi, tek bir AI ajanına altı MCP sunucusu bağlandığında araç şemalarının bağlam penceresinin %41'ini tükettiği ve prompt önbellek isabet oranını %92'den %48'e düşürdüğü gerçeği — streamable HTTP'nin yerel stdio'ya göre %87 daha yavaş olduğu da ölçüldü.
Bun ekibi, 535 bin satırlık Zig kod tabanını Rust'a taşımak için Anthropic'in Claude modelini kullandı. 64 paralel ajanla iki günde tamamlanan yeniden yazım süreci, 600 satırlık bir taşıma rehberi ve çapraz doğrulayıcı inceleme turlarıyla yönetildi. Google'ın Gemma-4 modellerini AWS Inferentia2'ye taşıma girişimi ise vendor yığınının katmanlar arası KV paylaşımı ve gruplu sorgu dikkatindeki karışık kafa sayıları karşısında kırıldığını gösterdi; çözüm olarak NxD'nin alt seviye API'leriyle özel bir implementasyon geliştirildi.
200'den fazla çok kiracılı AI ve SaaS ürününde yapılan güvenlik taraması, 78 üründe 84 ayrı kiracılar arası veri sızıntısı tespit etti. Hata deseni neredeyse mekanikti: yazma uçlarında uygulanan yetkilendirme kontrolünün okuma uçlarında unutulması. AI ajanlarındaki sessiz veri kaybının dört farklı kök nedenini inceleyen bir diğer çalışma ise anahtar uyuşmazlığı, compaction sırasında veri düşmesi, eşzamanlı yazma yarışı ve bayat görüntüden yazma sorunlarının tek bir belirti altında nasıl gizlenebildiğini ortaya koydu.
» İstatistikler
- Yayın
- 960
- Okunma
- 3
- Ort. puan
- 7.7
» En çok okunan
- LLM'ler kodun çoğunu yazarken derleyici işinin yönü değişiyor
- Bun, Zig'den Rust'a: 64 Claude ajanıyla 2 günde tam yeniden yazım
- Google Play Scraper'ı Modern Node İçin Sıfırdan Yeniden Yazdım
- Rust ve ONNX ile CPU'da SigLIP 2 Metin Gömme Sunucusu
- Dağıtık Sistemler için Senaryo Testleri
- WordPress Çekirdeğinde Kimlik Doğrulamasız SQL Enjeksiyonu
- Celly: CEL için Native C#/.NET Uygulaması, %100 Uyumluluk
- Next.js'te Üç Açık Bellek Sızıntısı: Hangi Sorunu Yaşadığınızı Belirleyin
- TP-Link Kasa kameraları 6 yıldır GPS konumunu kimliksiz UDP ile sızdırdı
- C# ile Gerçek Zamanlı Ses Sentezi: Sigilgraph DAW'ın İçi
» En yüksek puan
- Unisoc T606/T616 Yongalı Telefonlarda Zincirleme Sıfır Tık Açığı
- Gemma-4 (2B/4B/12B) AWS Inferentia2'ye Nasıl Taşındı
- Bun, Zig'den Rust'a: 64 Claude ajanıyla 2 günde tam yeniden yazım
- Passkey ve WebAuthn PRF ile giriş ötesi: veri şifreleme
- WordPress Çekirdeğinde Kimlik Doğrulamasız SQL Enjeksiyonu
- Mozilla Raporu: Açık Kaynak AI Token'larda Önde, Üretimde Geride
- AI ajanlarında sessiz veri kaybının dört nedeni
- 200 self-hosted AI aracı incelendi: 78'inde kiracı izolasyonu kırık çıktı
- Tek Ajanda 6 MCP Sunucusu: Gerçek Token Faturası Ne Çıktı
- NAT Slipstreaming v2.0: Tarayıcı Üzerinden NAT/Güvenlik Duvarı Atlatma