| 26.01.2024 Удалённая уязвимость в прослойке Shim, позволяющая обойти UEFI Secure Boot (116 +8) |
В прослойке Shim, применяемой в большинстве Linux-дистрибутивов для верифицированной загрузки в режиме UEFI Secure Boot, выявлена уязвимость (CVE-2023-40547), которая может привести к удалённому выполнению кода и обходу механизма верифицированной загрузки UEFI Secure Boot. Атакующий, контролирующий HTTP-сервер, к которому обращается Shim, может вернуть специально оформленный ответ, приводящий к контролируемой записи в область за границу буфера для организации выполнения кода на раннем этапе загрузки...
|
|
| 26.01.2024 Итоги соревнования Pwn2Own Automotive, посвящённого взлому автомобильных систем (82 +18) |
Подведены итоги трёх дней соревнований Pwn2Own Automotive, проходивших на конференции Automotive World в Токио. На соревнованиях были продемонстрированы 49 ранее неизвестных уязвимостей (0-day) в автомобильных информационно-развлекательных платформах, операционных системах и устройствах зарядки электромобилей. При проведении атак использовались самые свежие прошивки и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию...
|
|
| 25.01.2024 Открыт редактор Zed, поддерживающий совместное написание кода (311 +14) |
Объявлено об открытии исходных текстов многопользовательского редактора кода Zed, развиваемого под руководством Натана Собо (Nathan Sobo), автора проекта Atom (основа VS Code) при участии команды бывших разработчиков редактора Atom, платформы Electron и библиотеки для разбора синтаксиса Tree-sitter. Исходные тексты серверной части, обеспечивающей координацию многопользовательского редактирования, открыты под лицензией AGPLv3, а самого редактора - под лицензией GPLv3. Для формирования интерфейса пользователя задействована собственная библиотека GPUI, открытая под лицензией Apache 2.0. Код проекта развивается на языке Rust. Из платформ пока поддерживается только macOS (в разработке поддержка Linux, Windows и Web)...
|
|
| 24.01.2024 Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового шифрования OPAL (46 +11) |
Опубликован набор утилит Cryptsetup 2.7, предназначенных для настройки шифрования дисковых разделов в Linux при помощи модуля dm-crypt. Поддерживается работа с разделами dm-crypt, LUKS, LUKS2, BITLK, loop-AES и TrueCrypt/VeraCrypt. В состав также входят утилиты veritysetup и integritysetup для настройки средств контроля целостности данных на основе модулей dm-verity и dm-integrity...
|
|
| 24.01.2024 Выпуск web-браузера Chrome 121 (128 +10) |
Компания Google опубликовала релиз web-браузера Chrome 121. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей при поиске RLZ-параметров. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 122 запланирован на 20 февраля...
|
|
| 23.01.2024 Релиз Firefox 122 (235 +25) |
Состоялся релиз web-браузера Firefox 122 и сформировано обновление ветки с длительным сроком поддержки - 115.7.0. На стадию бета-тестирования переведена ветка Firefox 123, релиз которой намечен на 20 февраля...
|
|
| 22.01.2024 Проект bpftime развивает реализацию eBPF, работающую в пространстве пользователя (31 +16) |
Представлен проект bpftime, развивающий runtime и виртуальную машину для выполнения обработчиков eBPF в пространстве пользователя. Bpftime позволяет выполнять целиком в пространстве пользователя eBPF-программы трассировки и вмешательства в работу процессов, использующие такие возможности, как uprobe и программный перехват системных вызовов. Отмечается, что благодаря исключению лишних переключений контекста bpftime позволяет добиться десятикратного снижения накладных расходов по сравнению с использованием функциональности uprobe и uretprobe, предоставляемой ядром Linux. Кроме того, bpftime значительно упрощает отладку, потенциально может применяться на системах без ядра Linux и не требует расширенных привилегий, необходимых для загрузки eBPF-приложения в ядро. Код проекта написан на языках С/C++ и распространяется под лицензией MIT...
|
|
| 21.01.2024 8.2% наиболее популярных загрузок в NPM приходится на устаревшие пакеты (33 +9) |
Исследователи из компании Aqua Security опубликовали результаты анализа статистики о 50 тысячах наиболее загружаемых пакетов в репозитории NPM. 7500 (15%) из наиболее загружаемых пакетов оказались связаны с устаревшими пакетами и прекратившими существование проектами. Для упрощения определения устаревших пакетов среди зависимостей, используемых в своём проекте, предложена утилита Dependency-Deprecated-Checker, опубликованная под лицензией MIT...
|
|
| 20.01.2024 Опыт создания хранилища Ceph c пропускной способностью тебибайт в секунду (95 +42) |
Инженер из компании Clyso обобщил опыт создания кластера хранения на базе отказоустойчивой распределённой системы Ceph с пропускной способностью, превышающей тебибайт в секунду. Отмечается, что это первый кластер на базе Ceph, который смог достигнуть подобного показателя, но перед получением представленного результата инженерам потребовалось преодолеть серию неочевидных подводных камней...
|
|
| 20.01.2024 Платформа совместной разработки SourceHut была выведена из строя на 7 дней из-за DDoS-атаки (201 +17) |
Разработчики платформы совместной разработки SourceHut опубликовали отчёт об инциденте, в результате которого работа сервиса была нарушена в течение 7 дней из-за продолжительной DDoS-атаки, к которой инфраструктура проекта оказалась не готова. Базовые сервисы удалось восстановить на третий день, но некоторые службы оказались недоступны с 10 по 17 января. На начальном этапе атаки разработчики не успели среагировать и попытаться противостоять проблеме на стороне своих серверов, так весь трафик к серверам SourceHut был полностью блокирован на стороне вышестоящего провайдера...
|
|
| 19.01.2024 Выпуск Hangover 9.0, пакета для запуска Windows-приложений на системах ARM64 (106 +24) |
Опубликована новая ветка проекта Hangover, позволяющего запускать 32-разрядные Windows-приложения, собранные для архитектур x86 (i386) и ARM32, в окружениях на базе архитектуры ARM64 (Aarch64). В разработке находится реализация варианта Hangover для архитектуры RISC-V. Выпуск основан на кодовой базе Wine 9.0, что отражено в номере версии. Наработки проекта распространяются под лицензией LGPL-2.1...
|
|
| 18.01.2024 Уязвимость LeftoverLocals в GPU AMD, Apple, Qualcomm и Imagination (78 +14) |
В графических процессорах компаний AMD, Apple, Qualcomm и Imagination выявлена уязвимость (CVE-2023-4969), получившая кодовое имя LeftoverLocals и позволяющая извлечь данные из локальной памяти GPU, оставшиеся после выполнения другого процесса и возможно содержащие конфиденциальную информацию. С практической стороны уязвимость может представлять опасность на многопользовательских системах, в которых обработчики разных пользователей запускаются на одном GPU, а также может применяться во вредоносном ПО для отслеживания активности выполняемых на GPU процессов. Например, в ходе атаки можно определить данные, обрабатываемые выполняемыми на GPU процессами (GPU kernel)...
|
|
| 17.01.2024 PixieFAIL - уязвимости в сетевом стеке прошивок UEFI, применяемом для PXE-загрузки (85 +19) |
В UEFI-прошивках на основе открытой платформы TianoCore EDK2, обычно используемых на серверных системах, выявлено 9 уязвимостей, получивших собирательное кодовое имя PixieFAIL. Уязвимости присутствуют в сетевом стеке прошивок, применяемом для организации сетевой загрузки (PXE). Наиболее опасные уязвимости позволяют неаутентифицированному атакующему организовать удалённое выполнение своего кода на уровне прошивки в системах, допускающих PXE-загрузку с использованием сети IPv6...
|
|
| 17.01.2024 Доступна СУБД MySQL 8.3.0 (85 +3) |
Компания Oracle сформировала новую ветку СУБД MySQL 8.3 и опубликовала корректирующее обновление MySQL 8.0.36. Сборки MySQL Community Server 8.3.0 подготовлены для всех основных дистрибутивов Linux, FreeBSD, macOS и Windows...
|
|
| 17.01.2024 GitHub обновил GPG-ключи из-за уязвимости, приводящей к утечке переменных окружения (17 +6) |
GitHub раскрыл сведения об уязвимости, позволяющей получить доступ к содержимому переменных окружений, выставленных в контейнерах, применяемых в рабочей инфраструктуре. Уязвимость была выявлена участником программы Bug Bounty, претендующим на получение вознаграждения за поиск проблем с безопасностью. Проблема затрагивает как сервис GitHub.com, так и конфигурации GitHub Enterprise Server (GHES), выполняемые на системах пользователей...
|
|
| <<Предыдущие 15 элементов |
| Следующие 15 элементов>> |