Due vulnerabilità critiche di tipo authentication bypass sono state scoperte in phpBB, uno dei software per forum più longevi e diffusi nel panorama open source (lo stesso impiegato anche qui su TurboLab.it). La più grave consente a un attaccante di autenticarsi come qualsiasi utente - amministratori inclusi - con una singola richiesta HTTP, senza conoscere la password e senza alcuna interazione da parte della vittima. La correzione è arrivata con la versione 3.3.17, rilasciata il 6 giugno 2026, ma il tempo che intercorre tra il rilascio di una patch e la sua effettiva applicazione sui server è, come sempre, il vero terreno di gioco per chi attacca.

» Leggi tutto

Non hai tempo di seguirci tutti i giorni? Nessun problema! Ecco a te il riepilogo di quanto proposto da TurboLab.it nel corso della settimana in conclusione.

» Leggi tutto

Oltre quattrocento pacchetti compromessi, un infostealer, un rootkit eBPF e una catena di fiducia spezzata nel punto più fragile. L'attacco che ha colpito l'Arch User Repository - il vasto archivio di pacchetti gestito dalla comunità di Arch Linux - non è un semplice incidente di sicurezza. È la dimostrazione plastica di un rischio sistemico che la comunità Linux conosce da sempre ma ha sempre trattato con una scrollata di spalle: l'AUR non è sottoposto a revisione formale, e chiunque può adottare un pacchetto abbandonato. Basta avere un account. I ricercatori di Sonatype hanno battezzato la campagna «Atomic Arch», e i numeri suggeriscono che si tratti dell'attacco più esteso nella storia dell'AUR.

» Leggi tutto

Una vulnerabilità nel kernel di Windows che risale al 2020, teoricamente corretta con una patch nel dicembre dello stesso anno, è tornata a far parlare di sé. Il ricercatore noto come Chaotic Eclipse, già noto per aver implementato molteplici exploit per Windows negli ultimi mesi, ha pubblicato su GitHub un exploit funzionante - battezzato MiniPlasma - che dimostra come il bug originale, catalogato come CVE-2020-17103, sia ancora sfruttabile su sistemi Windows completamente aggiornati. Per qualsiasi amministratore di sistema la situazione è delicata: nessuna correzione disponibile, codice sorgente ed eseguibile compilato sono pubblici, e le precedenti divulgazioni dello stesso ricercatore sono già state adottate rapidamente da attori malevoli.

» Leggi tutto

Due nuove vulnerabilità zero-day per Windows 11 sono state pubblicate su GitHub il 12 maggio 2026, e nessuna delle due ha una patch disponibile. L'autore è un ricercatore noto con l'alias Nightmare-Eclipse (o Chaotic Eclipse), già responsabile di precedenti exploit pubblici battezzati BlueHammer, RedSun e Undefend. I due nuovi si chiamano YellowKey e GreenPlasma: il primo aggira completamente la cifratura BitLocker, il secondo consente un'escalation di privilegi fino a SYSTEM. Il codice è lì, su un repository pubblico, alla portata di chiunque sappia leggere un file README. Microsoft non ha rilasciato alcuna risposta ufficiale né indicato tempistiche per una correzione.

» Leggi tutto

A poche ore dal Patch Tuesday di giugno 2026, il "solito" ricercatore di sicurezza noto come Nightmare Eclipse ha pubblicato un ennesimo exploit proof-of-concept chiamato RoguePlanet che prende di mira una vulnerabilità zero-day in Microsoft Defender. Il risultato, quando l'exploit va a segno, è un prompt dei comandi con privilegi SYSTEM - il livello più alto ottenibile su una macchina Windows. Nessuna patch disponibile, nessun CVE assegnato, e un codice funzionante già verificato in modo indipendente. Per chi amministra reti Windows, è il momento di prestare attenzione.

» Leggi tutto

Chi sta progettando un nuovo PC o un aggiornamento basato su DDR5 farebbe bene a sedersi. Durante il Computex 2026, David McAfee - vice presidente e general manager della divisione Client Channel and Graphics Business Group di AMD - ha dichiarato senza troppi giri di parole che i prezzi della memoria DDR5 non torneranno alla normalità prima del 2028, circa due anni da oggi. L'intervista dipinge un quadro che qualsiasi appassionato di hardware avrebbe preferito non vedere: il costo della RAM resterà gonfiato per tutta la durata dell'attuale ciclo di aggiornamento.

» Leggi tutto

C'è un momento, nella storia di ogni tecnologia, in cui smette di essere un trucco da palcoscenico e diventa infrastruttura. La traduzione vocale in tempo reale ha vissuto per anni nella terra di mezzo delle demo spettacolari e dei risultati mediocri nella pratica quotidiana. Con l'annuncio del 9 giugno 2026, Google prova a far compiere a questa tecnologia il salto definitivo: Gemini 3.5 Live Translate è un modello audio specializzato nella traduzione vocale quasi istantanea, integrato direttamente in Google Translate, Google Meet e nelle API per sviluppatori.

» Leggi tutto

Anthropic alza il sipario su Claude Fable 5, il modello che porta la potenza della classe Mythos - finora riservata a pochi partner selezionati - nelle mani di sviluppatori e professionisti di tutto il mondo. Le capacità di codifica e ragionamento che ad aprile avevano catturato l'attenzione di Wall Street e dei governi sono ora disponibili via API per chiunque. Ma non senza condizioni: un sistema di guardrail di sicurezza, un modello di fallback per le richieste sensibili, un nuovo obbligo di conservazione dei dati che farà storcere il naso a più di un'azienda. E un modello di prezzo che, dopo un assaggio gratuito di due settimane, chiederà agli utenti di mettere mano al portafoglio.

» Leggi tutto

L'uso della linea di comando per eseguire determinate cose, per me che sono della vecchia scuola, rimane sempre utile e importante, però ricordarsi certi comandi, con tutte le loro opzioni non è sempre facile. Così quando ho letto questa discussione su Reddit, ringrazio il suo autore trask129 a cui va riconosciuto il merito iniziale, ho deciso di fare la mia versione italianizzata, e non solo, dello script.

» Leggi tutto

Con l'annuncio di macOS 27 Golden Gate al WWDC 2026, Apple ha tagliato l'ultimo filo che la legava all'architettura x86. Per la prima volta nella storia di macOS, nessun Mac con processore Intel potrà installare il nuovo sistema operativo. La transizione verso Apple Silicon, iniziata nel novembre 2020 con il chip M1, raggiunge così il suo traguardo più simbolico: chi possiede ancora un Mac Intel è ufficialmente fuori dal perimetro delle nuove funzionalità.

» Leggi tutto

Per una volta voglio dedicare un articolo a un sito completo, e non a un singolo programma o script, si tratta di Killertools.net, vi trovate una raccolta, aggiornata di frequente, con una serie di piccole curiosità, programmi portable vari, script powershell e utility avviabili direttamente dalla pagina web.

» Leggi tutto

Non hai tempo di seguirci tutti i giorni? Nessun problema! Ecco a te il riepilogo di quanto proposto da TurboLab.it nel corso della settimana in conclusione.

» Leggi tutto

Se anche tu, come me, segui Ethereum da un punto di vista "tecnico", più che "speculativo", vorrai sicuramente configurare un nodo Ethereum a casa tua, magari per interrogare la blockchain senza bisogno di servizi esterni oppure per studiare la programmazione della EVM (Ethereum Virtual Machine) con Solidity. Ebbene: in questa guida vedremo proprio come attivare un nodo Ethereum sul PC, partendo da zero. Allo scopo, installeremo e configureremo il client Ethereum Besu su Ubuntu, passo per passo

» Leggi tutto

Una singola richiesta HTTP è tutto ciò che serve a un attaccante per prendere il controllo completo di un sito WordPress che utilizza il plugin Kirki - Freeform Page Builder, Website Builder & Customizer, sviluppato da Themeum. La vulnerabilità, tracciata come CVE-2026-8206 con un punteggio CVSS di 9.8 su 10, consente un'escalation di privilegi senza autenticazione: chiunque su Internet può impossessarsi dell'account amministratore di un sito vulnerabile senza conoscerne la password. Il plugin conta oltre 500.000 installazioni attive, e le stime sui siti che eseguono ancora una versione vulnerabile oscillano tra 150.000 e 200.000. Gli attacchi sono già in corso.

» Leggi tutto

Per la prima volta nella storia di Internet, il traffico generato dai bot supera quello umano. Il sorpasso - a lungo previsto, ma atteso non prima del 2027 - si è materializzato con mesi di anticipo, stando ai dati della rete di Cloudflare, che serve circa un quinto di tutti i siti web del pianeta. Il 57,5% delle richieste HTTP verso pagine HTML proviene ormai da agenti automatizzati. Gli esseri umani si fermano al 42,5%. Non è una proiezione né un modello statistico: è il dato grezzo che transita attraverso una delle infrastrutture più capillari della rete globale. Le implicazioni per chi gestisce servizi esposti a Internet - dalla pianificazione della capacità alla sicurezza, dalla gestione della banda ai modelli di monetizzazione pubblicitaria - sono tutt'altro che astratte.

» Leggi tutto

Per anni, far girare un modello linguistico degno di questo nome sul proprio portatile ha significato scegliere tra due opzioni ugualmente frustranti: accontentarsi di modelli minuscoli e poco capaci, oppure investire in hardware con schede grafiche da diverse migliaia di euro. Google prova a scardinare questa logica con Gemma 4 12B, un modello multimodale a pesi aperti da 11,95 miliardi di parametri progettato per girare su un normale laptop con 16 GB di memoria unificata o VRAM. Licenza Apache 2.0, scaricabile gratis, già disponibile su Hugging Face, Kaggle, Ollama, LM Studio e Google AI Edge Gallery. La domanda, come sempre, è se le promesse reggano il confronto con la realtà.

» Leggi tutto

Da qualche giorno notavo uno strano aumento dell'attività della ventola del mio computer, non giustificata né dal caldo o da operazioni particolarmente pesanti nel sistema operativo. Mentre provavo uno script per la rilevazione delle operazioni pianificate, o task, ne vedo due particolarmente strane, di cui una RemoveAI-UpdateCleanupChecker che rimaneva sempre attiva.

» Leggi tutto

Martedì 2 giugno, mentre il sole californiano illuminava il Fort Mason Center di San Francisco, Satya Nadella saliva sul palco del Build 2026 con un messaggio che non lasciava spazio a interpretazioni: Microsoft non vuole più limitarsi a rivendere l'intelligenza artificiale altrui. Sette nuovi modelli sviluppati internamente, un modello di ragionamento che punta a competere con i migliori del settore e una strategia che ridisegna i rapporti con OpenAI. La conferenza per sviluppatori di quest'anno segna il momento in cui la strategia multi-modello di Microsoft smette di essere una slide in una presentazione e diventa prodotto.

» Leggi tutto

Microsoft entra nel mercato dei mini PC con un dispositivo pensato, nelle intenzioni, per far dimenticare ai developer la dipendenza dalle GPU in cloud. Il Surface RTX Spark Dev Box, presentato al Microsoft Build 2026, è il primo mini PC a marchio Surface e monta il processore NVIDIA RTX Spark basato su architettura ARM Blackwell. Con 128 GB di memoria unificata e una potenza dichiarata di un petaflop in ambito AI, il dispositivo punta dritto a chi sviluppa e addestra modelli di intelligenza artificiale in locale - senza pagare a consumo per istanze cloud.

» Leggi tutto

Mentre il mondo dello sviluppo software era con gli occhi puntati su Microsoft Build 2026, tra le decine di annunci legati all'intelligenza artificiale ce n'è stato uno che ha fatto drizzare le antenne ai power user della riga di comando: Microsoft ha presentato Intelligent Terminal, un fork sperimentale e open source di Windows Terminal che integra nativamente capacità di agenti AI direttamente nell'esperienza del terminale. Non un aggiornamento, non un plugin: un'applicazione separata, pensata per chi vuole un compagno artificiale sempre presente nel proprio flusso di lavoro da riga di comando.

» Leggi tutto

Microsoft ha scelto il palcoscenico di Build 2026, a San Francisco, per svelare una delle mosse più audaci - e per certi versi più sorprendenti - della sua storia recente nel settore mobile. Si chiama Project Solara ed è un sistema operativo costruito su Android, ma ripensato da zero attorno agli agenti AI anziché alle applicazioni tradizionali. "Microsoft lancia un sistema operativo mobile basato su Android" è il tipo di notizia che avrebbe fatto esplodere i forum nel 2014; nel 2026 la questione è ben più sottile. Non si tratta di rincorrere l'era delle app, ormai persa da tempo, ma di scommettere tutto sulla prossima.

» Leggi tutto

Per anni, la vita quotidiana di uno sviluppatore su Windows è stata costellata di piccoli compromessi. Serviva un ls? Aprivi WSL. Un grep veloce? Forse Git Bash, o magari Cygwin. Strumenti che funzionavano, certo, ma che vivevano in una terra di nessuno: né davvero nativi, né pienamente integrati. Al Build 2026, Microsoft ha deciso di affrontare la questione di petto, annunciando Coreutils for Windows: una raccolta di oltre 75 utilità a riga di comando in stile Unix, compilate nativamente per Windows, senza bisogno di macchine virtuali, strati di compatibilità o preghiere rivolte a divinità POSIX.

» Leggi tutto

Un aggiornamento di sicurezza che si pianta al 35% del riavvio e torna silenziosamente indietro, senza nemmeno la cortesia di una schermata blu. Per gli amministratori di sistema che gestiscono flotte di PC con Windows 11, il Patch Tuesday di maggio 2026 ha riservato esattamente questo scenario: l'aggiornamento cumulativo KB5089549 non riusciva a completare l'installazione su un numero imprecisato di dispositivi, restituendo il criptico errore 0x800f0922. Microsoft ha risposto il 26 maggio con un aggiornamento correttivo, KB5089573, per chiudere definitivamente la questione.

» Leggi tutto

Al Computex 2026, Microsoft ha annunciato il Surface Laptop Ultra: un portatile da 15" alimentato dal chip NVIDIA RTX Spark (architettura ARM) e fino a 128 GB di memoria unificata rivolto a professionisti, content creator e a chi necessita di eseguire modelli AI di grandi dimensioni in locale

» Leggi tutto