| 04.10.2023 В Firefox и Cloudflare включена поддержка ECH для скрытия домена в HTTPS-трафике (302 +44) |
Компания Mozilla объявила о включении для пользователей стабильной ветки Firefox поддержки механизма ECH (Encrypted Client Hello), продолжающего развитие технологии ESNI (Encrypted Server Name Indication) и предназначенного для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя. Изначально код для работы с ECH был добавлен в выпуск Firefox 85, но был отключён по умолчанию. В Chrome поддержку ECH начали постепенно включать, начиная с выпуска Chrome 115...
|
|
| 04.10.2023 Уязвимость в NTFS-драйвере из состава GRUB2, позволяющая выполнить код и обойти UEFI Secure Boot (89 +11) |
В драйвере, обеспечивающем работу с файловой системой NTFS в загрузчике GRUB2, выявлена уязвимость (CVE-2023-4692), позволяющая организовать выполнение своего кода на уровне загрузчика при обращении к специально оформленному образу файловой системы. Уязвимость может применяться для обхода механизма верифицированной загрузки UEFI Secure Boot...
|
|
| 03.10.2023 Уязвимость в Glibc ld.so, позволяющая получить права root в большинстве дистрибутивов Linux (153 +28) |
Компания Qualys выявила опасную уязвимость (CVE-2023-4911) в компоновщике ld.so, поставляемом в составе системной Си-библиотеки Glibc (GNU libc). Уязвимость, которой присвоено кодовое имя "Looney Tunables", позволяет локальному пользователю поднять свои привилегии в системе через указание специально оформленных данных в переменной окружения GLIBC_TUNABLES перед запуском исполняемого файла с флагом suid root, например, /usr/bin/su...
|
|
| 02.10.2023 Выпуск языка программирования Python 3.12 (280 +31) |
После года разработки опубликован значительный выпуск языка программирования Python 3.12. Новая ветка будет поддерживаться в течение полутора лет, после чего ещё три с половиной года для неё будут формироваться исправления с устранением уязвимостей...
|
|
| 02.10.2023 Доступна система шифрования дисковых разделов VeraCrypt 1.26, пришедшая на смену TrueCrypt (126 +17) |
После полутора лет разработки опубликован выпуск проекта VeraCrypt 1.26, развивающего форк системы шифрования дисковых разделов TrueCrypt, прекратившей своё существование. VeraCrypt примечателен заменой используемого в TrueCrypt алгоритма RIPEMD-160 на SHA-512 и SHA-256, увеличением числа итераций хэширования, упрощением процесса сборки для Linux и macOS, устранением проблем, выявленных в процессе аудита исходных текстов TrueCrypt. Прошлый официальный релиз VeraCrypt 1.25.9 был опубликован в феврале 2022 года. Разработанный проектом VeraCrypt код распространяется под лицензией Apache 2.0, а заимствования из TrueCrypt продолжают поставляться под лицензией TrueCrypt License 3.0. Готовые сборки формируются для Linux, FreeBSD, Windows и macOS...
|
|
| 30.09.2023 В Ubuntu Snap Store выявлены вредоносные пакеты (196 +34) |
Компания Canonical объявила о временной приостановке использования в Snap Store автоматической системы проверки публикуемых пакетов из-за появления в репозитории пакетов с вредоносным кодом для кражи криптовалюты у пользователей. При этом непонятно, ограничивается ли инцидент публикацией вредоносных пакетов сторонними авторами или имеют место какие-то проблемы с безопасностью непосредственно репозитория, так как ситуация в официальном анонсе характеризуется как "потенциальный инцидент с безопасностью"...
|
|
| 30.09.2023 Атака Marvin для расшифровки RSA на основе измерения времени операций (117 +32) |
Хьюберт Карио (Hubert Kario), чешский исследователь безопасности, работающий в компании Red Hat, представил на завершившемся вчера Европейском симпозиуме по компьютерной безопасности технику атаки Marvin, позволяющую определить исходные данные через измерение задержек при выполнении операций расшифровки на базе алгоритма RSA. На практике предложенный метод позволяет расшифровать трафик или сформировать цифровые подписи без знания закрытого RSA-ключа. Для тестирования применимости атаки опубликован специальный скрипт для проверки TLS-серверов и инструментарий для выявления проблем в библиотеках...
|
|
| 29.09.2023 Выпуск DuckDB 0.9.0, варианта SQLite для аналитических запросов (40 +11) |
Опубликован выпуск СУБД DuckDB 0.9.0, сочетающей такие свойства SQLite, как компактность, возможность подключения в форме встраиваемой библиотеки, хранение БД в одном файле и удобный CLI-интерфейс, со средствами и оптимизациями для выполнения аналитических запросов, охватывающих значительную часть хранимых данных, например, выполняющих агрегирование всего содержимого таблиц или слияние нескольких больших таблиц. Код проекта распространяется под лицензией MIT. Разработка пока находится на стадии формирования экспериментальных выпусков, так как формат хранилища пока не стабилизирован и меняется от версии к версии...
|
|
| 29.09.2023 Red Hat переходит с системы отслеживания ошибок Bugzilla на платформу Jira (111 –20) |
Компания Red Hat объявила о переводе разработки Red Hat Enterprise Linux и CentOS Stream на новую систему отслеживания ошибок issues.redhat.com, построенную на основе проприетарной платформы Jira, развиваемой компанией Atlassian. Ранее в Red Hat применялась собственная редакция свободной платформы отслеживания ошибок Bugzilla (аналогичные отдельные редакции Bugzilla также поддерживают проекты Mozilla и SUSE). В настоящее время компания Red Hat уже перешла на приём новых сообщений об ошибках в RHEL 6-9 только через новую систему и в течение следующих нескольких недель планирует перенести из Bugzilla в Jira существующую базу сообщений об ошибках. Проект Fedora продолжит использование Bugzilla, несмотря на внедрение Jira в RHEL и CentOS Stream...
|
|
| 28.09.2023 Анонсирована плата Raspberry Pi 5 (368 +43) |
Спустя более четырёх лет с момента создания платы Raspberry Pi 4 организация Raspberry Pi Foundation представила плату нового поколения - Raspberry Pi 5, которая поступит в продажу в конце октября по цене $60 за вариант с 4 ГБ ОЗУ и $80 за вариант с 8 ГБ ОЗУ. Для сравнения плата Raspberry Pi 4 с 2 ГБ ОЗУ продавалась за $35, 4 ГБ ОЗУ - $55, а 8 ГБ ОЗУ - $75, но при этом заявлено, что производительность платы Raspberry Pi 5 в 2-3 раза выше Raspberry Pi 4...
|
|
| 28.09.2023 0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик видео VP8 (98 +11) |
Компания Google опубликовала обновление браузера Chrome 117.0.5938.132, в котором устранена уязвимость (CVE-2023-5217) в библиотеке libvpx, приводящая к переполнению буфера при использовании функций кодирования в формате VP8. В отличие от недавно выявленной уязвимости в декодировщике изображений в формате WebP, проблеме в кодировщике VP8 присвоен высокий, но не критический уровень опасности, т.е. проблема не позволяет обойти все уровни защиты браузера и для выполнения кода в системе за пределами sandbox-окружения требуется задействование ещё каких-то уязвимостей. При этом уязвимость выявлена в ходе анализа существующего в сети рабочего эксплоита, который применялся злоумышленниками для совершения атак (0-day)...
|
|
| 28.09.2023 Три критические уязвимости в Exim, позволяющие удалённо выполнить код на сервере (95 +19) |
Проект Zero Day Initiative (ZDI) раскрыл сведения о неисправленных (0-day) уязвимостях (CVE-2023-42115, CVE-2023-42116, CVE-2023-42117) в почтовом сервере Exim, позволяющих удалённо выполнить свой код на сервере с правами процесса, принимающего соединения на 25 сетевом порту. Аутентификация для проведения атаки не требуется...
|
|
| 27.09.2023 Атака GPU.zip, позволяющая воссоздать данные, отрисовываемые GPU (88 +28) |
Группа исследователей из нескольких университетов США разработала новую технику атаки по сторонним каналам, позволяющую воссоздать визуальную информацию, обрабатываемую в GPU. При помощи предложенного метода, который получил название GPU.zip, атакующий может определить выводимую на экран информацию. Среди прочего атака может быть проведена через web-браузер, например, продемонстрировано, как открытая в Chrome вредоносная web-страница может получить информацию о пикселях, выводимых при отрисовке другой web-страницы, открытой в том же браузере...
|
|
| 27.09.2023 Выпуск Chrome OS 117 (52 +4) |
Доступен релиз операционной системы Chrome OS 117, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 117. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Исходные тексты распространяются под свободной лицензией Apache 2.0. Сборка Chrome OS 117 доступна для большинства актуальных моделей Chromebook. Для использования на обычных компьютерах предлагается редакция Chrome OS Flex...
|
|
| 26.09.2023 Первый стабильный релиз ФС Composefs (48 +11) |
Александр Ларсон (Alexander Larsson), создатель Flatpak, работающий в компании Red Hat, представил первый стабильный выпуск файловой системы Composefs, оптимизированной для эффективного совместного хранения содержимого нескольких примонтированных дисковых образов. На практике ФС Composefs может оказаться полезной для монтирования образов контейнеров и размещения Git-подобного репозитория OSTree. Код проекта написан на языке Си и распространяется под лицензией GPLv2...
|
|
| <<Предыдущие 15 элементов |
| Следующие 15 элементов>> |