We have just now received word of the passing
of Helen Borrie, a longtime contributor to the Firebird relational
database project.
Helen’s quiet leadership and dedication left a lasting impact on
Firebird and its users. Her efforts helped build not just a powerful
database but also a strong, collaborative community. She will be
deeply missed by all who knew her and benefited from her work.
She will be greatly missed. (Thanks to Steve Friedl.)
Linux Mint version
22.1, a long-term-support (LTS) release with support until 2029, is now
available. Notable changes in this release include a transition to Aptkit for background
package management tasks, Captain to install
Debian packages, and a new default theme with improved Wayland
compatibility. See the release notes for
known issues.
Nick Tait announced on the
oss-security mailing list that
rsync, the widely used file transfer program, had a number of serious vulnerabilities.
Users can mitigate all six vulnerabilities by upgrading to
version 3.4.0, which was
released on January 14. While all users should upgrade, servers that use rsyncd are
especially impacted:
In the most severe CVE, an attacker only requires
anonymous read access to a rsync server, such as a public mirror, to
execute arbitrary code on the machine the server is running on.
Security updates have been issued by Arch Linux (rsync), Debian (rsync), Fedora (perl-Net-OAuth and redis), Red Hat (ipa, raptor2, rsync, and tuned), Slackware (rsync), SUSE (apache2-mod_jk, git, kernel, rclone, rsync, and webkit2gtk3), and Ubuntu (git, linux-azure-5.4, pdns, pdns-recursor, python-django, rlottie, and rsync).
A very security-conscious company was hit with a (presumed) massive state-actor phishing attack with gift cards, and everyone rallied to combat it—until it turned out it was company management sending the gift cards.
Младежи от три средни училища се включиха в конкурса “По-силни от думите”, организиран от Център за еврейско-българско сътрудничество “Алеф”, в рамките на инициативата „Толерантност срещу омразата – прилагане ценностите на…
Въпреки че „Теранос“ е оценена на 9 млрд. долара и съществува в продължение на 15 години, тя приключва дейността си без постигнат научен успех, а през 2022 и 2023 г. основателката ѝ Елизабет Холмс и нейният съдружник и главен оперативен директор на компанията Рамеш Балвани са осъдени съответно на над 11 и над 12 години затвор за измама на инвеститорите и пациентите.
Коя е Елизабет Холмс
Елизабет Холмс е родена през 1984 г. в столицата на САЩ – Вашингтон. Баща ѝ e вицепрезидент на енергийна компания, която фалира след скандал със счетоводни измами. Майка ѝ работи за правителството като политически съветник в Капитолия. Елизабет е наполовина датчанка, а прапрапрадядо ѝ е имигрант с еврейско-унгарски произход и през далечната 1868 година основава все още съществуващата компания за мая за хляб Fleischmann’s Yeast.
Елизабет Холмс завършва гимназията St. John’s School в Хюстън. Родителите ѝ я записват на частни уроци по мандарин, а след това посещава и лятната програма по мандарин в Станфордския университет.
През 2004 г. напуска Станфорд и използва парите за обучението си за финансиране на компания, свързана с разработването на технологии в сферата на здравеопазването.
Компанията „Теранос“
Едва на 19 години, през 2003-та Елизабет Холмс основава компанията „Теранос“ (името произхожда от английските думи за терапия – therapy, и диагноза – diagnosis). Мисията ѝ е да промени здравната система и да даде възможност на пациентите да се грижат за здравето си по по-достъпен начин. Страхът на Холмс от игли води до разработването на технология, с която могат да се извършат редица диагностични тестове с малко количество кръв, взета от убождане на пръста.
Рамеш Балвани – Съни става част от „Теранос“ през 2009 г. Преди това е работил за добре известни технологични компании, като LotusSoftware, Microsoft (в отдел „Продажби“) и CommerceBid.com. Впоследствие става ясно, че Балвани е упражнявал контрол върху служителите чрез лични нападки и заплахи, държейки отделните звена в пълно неведение за работата на колегите им заради страха си от индустриален шпионаж.
„Теранос“ има претенции, че предлага кръвни изследвания на най-ниски цени, като пациентите дават само няколко капки кръв в т.нар. нанотейнер. Компанията разработва патентовано устройство за извършване на изследванията, наречено Едисън. Революционните обещания за промяна в здравната система и медийният интерес увеличават интереса на инвеститорите и през 2014 г. „Теранос“ е оценена на 9 млрд. долара.
Изглежда, че компанията е успешна, но всъщност има множество затруднения по пътя на усъвършенстване на технологията, без която е невъзможно да постигне целта си да предоставя многобройни диагностични тестове наведнъж. Не са публикувани никакви резултати, с които технологията ѝ да може да се сравни с вече установени и одобрени за диагностика технологии и да се оценят точността, качеството и ефективността на „Едисън“.
Скептични експерти посочват, че количеството кръв, необходимо за изследванията, не е достатъчно за извършването на множество тестове и за получаване на коректен резултат. С времето става напълно ясно, че е абсолютно невъзможно теоретичният начин на работа на технологията да се приложи на практика и не представлява невероятен научен пробив – съответно обещанията на компанията са напразни. Двама учени (Тейлър Шулц и Ерика Чънг) от компанията решават да изобличат „Теранос“, като разкриват, че компанията фалшифицира научни процедури и резултати.
Измамата „Теранос“ и научната етика
„Теранос“ работи в т.нар. научен вакуум според Джон Кариру, автор на книгата Bad Blood, в която се разглежда историята на Елизабет Холмс. Компанията обещава да трансформира здравните грижи, тестват се множество пациенти, но не са открити доказателства, че продуктите, които произвежда, са сигурни и безопасни. Липсва и ясно обяснение как работи технологията. Няма повторяемост на изследванията върху разработените устройства, която е задължителна част от доказателствата за ефективността и приложимостта им. Не са били изнасяни презентации на научни конференции. Служителите са максимално изолирани един от друг, а текучеството на кадри е голямо. Работи се в страх.
Учените от „Теранос“, изразяващи гласно притесненията си, са уволнявани и задължавани да подписват споразумения, че няма да разкриват фирмени тайни, в противен случай ще се наложи да се изправят пред съда. Иън Гибонс, биохимик и молекулярен биолог, се самоубива ден преди да свидетелства в съдебен процес за технологията, която компанията използва. Организацията се е основавала на безразсъдство, наивност, ласкателство и потайност. Научната етика, която очевидно липсва при „Теранос“, изисква открити проучвания, стриктни правила при тестване, възпроизводимост на резултатите, прозрачност и споделяне на новите открития.
Присъдата на Елизабет Холмс
Първите обвинения, повдигнати срещу Елизабет Холмс през 2018 г., са за измама на инвеститорите и на пациентите, използвали услугите на компанията. През 2022 г. тя е осъдена на 11 години и 3 месеца затвор за измама на инвеститорите, а по обвиненията за измама на пациенти е оправдана. От 27 април 2023 г. Елизабет Холмс излежава присъдата си ефективно в щатски затвор.
В същото време извън Силициевата долина се постига голям напредък в сферата на медицинската диагностика: автоматизиране на клинични анализи, откриване на биомаркери, въвеждане на метаболомика и изкуствен интелект. За здравеопазването в световен мащаб е изключително важно финансовата подкрепа да не секва, инвестициите да не спират, а с тях и желанието за нови технологии.
В Силициевата долина важи правилото Fake it till you make it („Прави се, че си успял, докато не успееш наистина“), компаниите се чувстват задължени да рекламират продуктите си още преди да са създадени, и да дават предварителни нереалистични обещания. Този подход не работи в сферата на медицината и науката. Изводите от провала на „Теранос“ са, че научната общност трябва да държи отговорни технологичните компании, да разглежда доказателствата и да показва възникналите проблеми. Само така инвеститорите, мениджърите на здравни системи и политиците ще имат по-ясен поглед върху нещата.
Заглавно изображение: Елизабет Холмс, основателка и главна изпълнителна директорка на „Теранос“, и Джонатан Шибър от TechCrunch по време на TechCrunch Disrupt в Сан Франциско. Септември, 2014 г. Източник: TechCrunch / Creative Commons
Microsoft is addressing 161 vulnerabilities this January 2025 Patch Tuesday. Microsoft has evidence of in-the-wild exploitation and/or public disclosure for eight of the vulnerabilities published today, with three listed on CISA KEV. This is now the fourth consecutive month where Microsoft has published zero-day vulnerabilities on Patch Tuesday without evaluating any of them as critical severity at time of publication. Today also sees the publication of nine critical remote code execution (RCE) vulnerabilities. Unusually, Microsoft has not yet published any browser vulnerabilities this month.
Access: triple zero-day RCE
Today sees the publication of three very similar zero-day Microsoft Access vulnerabilities: CVE-2025-21366, CVE-2025-21395, and CVE-2025-21186. In each case, Microsoft notes public disclosure, but does not claim evidence of exploitation in the wild. Successful exploitation leads to code execution via heap-based buffer overflow, and requires that an attacker convince the user to download and open a malicious file.
Curiously, in each case, one portion of the advisory FAQ describes the update protection as “blocking potentially malicious extensions from being sent in an email”, but the remainder of the advisory doesn’t clarify how this would prevent malicious activity. Typically, patches provide protection by blocking malicious files upon receipt of a malicious email attachment, rather than preventing a malicious attachment from being sent in the first place, since an attacker is free to send whatever they like from any system they control.
The FAQ does mention that users who would otherwise have interacted with a malicious attachment will instead receive a notification that there was an attachment but “it cannot be accessed”, which is perhaps the best play on words we’ve seen from MSRC in a while.
Hyper-V NT Kernel Integration VSP: triple zero-day EoP
Microsoft is addressing a trio of related Windows Hyper-V NT Kernel Integration VSP elevation of privilege vulnerabilities today: CVE-2025-21333, CVE-2025-21334, and CVE-2025-21335. Microsoft is aware of exploitation in the wild for all three, as seen on both the Microsoft advisories and CISA KEV. In each case, exploitation leads to SYSTEM privileges. The advisories are short on additional detail, beyond a brief acknowledgement of Anonymous — presumably an undisclosed party, rather than the hacktivist collective — on CVE-2025-21333.
While we can sometimes infer context from prior examples, in this case there aren’t any; there is no mention of Hyper-V NT Kernel Integration VSP in any vulnerability published by Microsoft, at least as far back as 2017. If we look back five years, CVE-2020-16885 does describe an elevation of privilege vulnerability in the Windows storage VSP driver, but there isn’t a lot to go on there either.
The Virtualization Service Provider (VSP) resides in the root partition of a Hyper-V instance, and provides synthetic device support to child partitions over the Virtual Machine Bus (VMBus): it’s the foundation of how Hyper-V allows the child partition to trick itself into thinking that it’s a real computer. Given that the entire thing is a security boundary, it’s perhaps surprising that no Hyper-V NT Kernel Integration VSP vulnerabilities have been acknowledged by Microsoft until today, but it won’t be at all shocking if more now emerge.
The advisories published today do not clarify whether the elevation of privilege is only to SYSTEM within the child partition, but container escape specialists will surely be hunting for exploits in this area.
Windows Themes: zero-day NTLM disclosure
Many enterprise users or even admins may not think about Windows Themes very often, but consider CVE-2025-21308: a spoofing vulnerability where successful exploitation leads to improper disclosure of an NTLM hash, which allows an attacker to impersonate the user from whom it was acquired. Microsoft does not have evidence of in-the-wild exploitation, but does note public disclosure.
The advisory FAQ dances around the exploitation methodology without explaining; what we learn is that once an attacker had somehow delivered a malicious file to the target system, a user would need to manipulate the malicious file, but not necessarily click or open it. Without further detail, we can only speculate, but it’s plausible that simply opening a folder containing the file in Windows Explorer — including the Downloads folder — or inserting a USB drive, would be enough to trigger the vulnerability and see your NTLM hash leak silently for collection by the threat actor.
Some good news: Microsoft has removed NTLMv1 support from Windows 11 24H2 and Server 2025 onwards. Less good: it has been a whole two months since Microsoft last patched a zero-day NTLM disclosure vulnerability; that flaw was within MSHTML/Trident, and Windows 11 24H2 and Server 2025 were still vulnerable, since NTLMv2 is still supported across the board.
On the advisory for CVE-2025-21308, Microsoft does link to documents describing a mitigation technique: restricting NTLM traffic. This is certainly worth a look, since a representative of reporting research organization 0patch has confirmed that NTLMv2 is affected by CVE-2025-21308.
Windows Installer: zero-day EoP
Installing or updating software often requires elevated privileges, and researchers and threat actors have known this for a long time. The advisory for CVE-2025-21275 doesn’t weigh us down with lengthy explanations, it simply says that successful exploitation leads to SYSTEM privileges. Microsoft is aware of public disclosure of this vulnerability, but not in-the-wild exploitation.
CVE-2025-21275 is the latest in a long line of Windows Installer elevation of privilege vulnerabilities; Microsoft has now published 37 Windows Installer elevation of privilege vulnerabilities in total since the start of 2020, although only five of those have been zero-days, with only CVE-2024-38014 known by Microsoft to have been exploited prior to publication in September 2024.
PGM: critical RCE
Microsoft’s in-house research teams are a reliable source of vulnerability discovery in Microsoft products, and today we get patches for the self-discovered CVE-2025-21307, a critical RCE in the Windows Reliable Multicast Transport Driver (RMCAST) with a CVSSv3 base score of 9.8. The vulnerability is only exploitable on a system where a program is listening on a Pragmatic General Multicast (PGM) port.
In 2025, you might very well expect that any service that a major commercial operating system exposes to the network would provide at least some form of authentication capability, but if so, prepare to be disappointed by the Windows implementation of PGM. The concept was first described in RFC 3208, which was published in 2001 in an Experimental state and stayed that way. As Microsoft themselves put it, “the PGM specification [RFC3208] is ambiguous in a number of areas”.
Given the lack of required user interaction and remote attack vector for CVE-2025-21307, it’s well worth asking yourself: does our firewall allow a PGM receiver to receive inbound traffic from the public internet? If so, the second-best time to prevent that is right now.
OLE: critical RCE
Outlook admins who force their users to read emails in plain text only can skip this paragraph, but everyone else should be aware of CVE-2025-21298, a Windows Object Linking and Embedding (OLE) critical RCE with a CVSSv3 base score of 9.8. The eternal threat of the malicious inbound email finds expression again here; just previewing the wrong email in Outlook is all it takes for an attacker to achieve code execution in the context of the user. All versions of Windows receive a patch.
The Agence du Numérique en Santé (ANS), the French governmental agency for health, introduced the HDS certification to strengthen the security and protection of personal health data. By achieving this certification, AWS demonstrates our continuous commitment to adhere to the heightened expectations for cloud service providers.
The following 24 Regions are in scope for this certification:
US East (Ohio)
US East (N. Virginia)
US West (N. California)
US West (Oregon)
Asia Pacific (Hong Kong)
Asia Pacific (Hyderabad)
Asia Pacific (Jakarta)
Asia Pacific (Mumbai)
Asia Pacific (Osaka)
Asia Pacific (Seoul)
Asia Pacific (Singapore)
Asia Pacific (Sydney)
Asia Pacific (Tokyo)
Canada (Central)
Europe (Frankfurt)
Europe (Ireland)
Europe (London)
Europe (Milan)
Europe (Paris)
Europe (Stockholm)
Europe (Zurich)
Israel (Tel Aviv)
Middle East (UAE)
South America (São Paulo)
The HDS certification demonstrates that AWS provides a framework for technical and governance measures to secure and protect personal health data according to HDS requirements. Our customers who handle personal health data can continue to manage their workloads in HDS-certified Regions with confidence.
AWS strives to continuously meet your architectural and regulatory needs. If you have questions or feedback about HDS compliance, reach out to your AWS account team.
To learn more about our compliance and security programs, see AWS Compliance Programs. As always, we value your feedback and questions; reach out to the AWS Compliance team through the Contact Us page.
If you have feedback about this post, submit comments in the Comments section below.
The collective thoughts of the interwebz
Manage Consent
To provide the best experiences, we use technologies like cookies to store and/or access device information. Consenting to these technologies will allow us to process data such as browsing behavior or unique IDs on this site. Not consenting or withdrawing consent, may adversely affect certain features and functions.
Functional
Always active
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
