GitHub опубликовал отчёт о блокировках за первую половину 2022 года

GitHub опубликовал отчёт, в котором отражены уведомления о нарушении интеллектуальной собственности и публикации незаконного содержимого, поступившие за первую половину 2022 года. Ранее подобные отчёты публиковались ежегодно, но теперь GitHub перешёл на раскрытие информации раз в полугодие. В соответствии с действующим в США Законом об авторском праве в цифровую эпоху (DMCA, Digital Millennium Copyright Act), в первой половине 2022 года GitHub получил 1200 требований о блокировке. От владельцев репозиториев поступило 20 опровержений на неправомерную блокировку. Из-за получения жалоб на нарушения условий использования сервиса, не связанных с DMCA, GitHub скрыл 44913 учётных записей, из которых 356 впоследствии были восстановлены. Блокировка доступа владельца … Читать далее GitHub опубликовал отчёт о блокировках за первую половину 2022 года

Уязвимость в устройствах на базе SoC Realtek, позволяющая выполнить код через отправку UDP-пакета

Исследователи из компании Faraday Security представили на конференции DEFCON детали эксплуатации критической уязвимости (CVE-2022-27255) в SDK для чипов Realtek RTL819x, позволяющей выполнить свой код на устройстве через отправку специально оформленного UDP-пакета. Уязвимость примечательна тем, что позволяет атаковать устройства, в которых отключён доступ в web-интерфейс для внешних сетей — для атаки достаточно просто отправить один UDP-пакет. Уязвимость затрагивает устройства, в которых используются уязвимые версии SDK Realtek, включая eCos RSDK 1.5.7p1 и MSDK 4.9.4p1. Обновления eCos SDK с устранением уязвимости были опубликованы Realtek 25 марта. Пока не ясно какие именно устройства подвержены проблеме — SoC Realtek RTL819x используется в сетевых маршрутизаторах, точках … Читать далее Уязвимость в устройствах на базе SoC Realtek, позволяющая выполнить код через отправку UDP-пакета

Обновление Chrome 104.0.5112.101 с устранением критической уязвимости

Компания Google сформировала обновление Chrome 104.0.5112.101, в котором исправлено 10 уязвимостей, в том числе критическая уязвимость (CVE-2022-2852), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, известно лишь, что критическая уязвимость связана с обращением к уже освобождённой памяти (use-after-free) в реализации API FedCM (Federated Credential Management), позволяющем создавать объединённые сервисы идентификации, обеспечивающие сохранение конфиденциальности и работающие без механизмов межсайтового отслеживания, таких как обработка сторонних Cookie. Из других исправленных уязвимостей можно отметить проблемы с обращением к уже освобождённой памяти в системе рендеринга Swiftshader, движке Blink, OS Shell, привязке входа в Chrome с … Читать далее Обновление Chrome 104.0.5112.101 с устранением критической уязвимости

Выпуск Nuitka 1.0, компилятора для языка Python

Доступен выпуск проекта Nuitka 1.0, развивающего компилятор для трансляции скриптов на языке Python в представление на языке C++, которое затем можно скомпилировать в исполняемый файл, использующий libpython для обеспечения максимальной совместимости с CPython (используются штатные средства CPython для управления объектами). Обеспечена полная совместимость с актуальными выпусками Python 2.6, 2.7, 3.3 — 3.10. По сравнению с CPython скомпилированные скрипты демонстрируют в тестах pystone повышение производительности на 335%. Код проекта распространяется под лицензией Apache. Выпуск 1.0 не сигнализирует о новом значительном этапе развития, а лишь продолжает принятую проектом нумерацию версий (прошлый выпуск был 0.9). При этом в Nuitka 1.0 отмечаются существенные улучшения, … Читать далее Выпуск Nuitka 1.0, компилятора для языка Python

Компания Valve выпустила Proton 7.0-4, пакет для запуска Windows-игр в Linux

Компания Valve опубликовала выпуск проекта Proton 7.0-4, который основан на кодовой базе проекта Wine и нацелен на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Наработки проекта распространяются под лицензией BSD. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 9/10/11 (на базе пакета DXVK) и DirectX 12 (на базе vkd3d-proton), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. Для увеличения производительности многопоточных игр поддерживаются механизмы «esync» … Читать далее Компания Valve выпустила Proton 7.0-4, пакет для запуска Windows-игр в Linux

Попытка захвата учётных записей Signal через компрометацию SMS-сервиса Twilio

Разработчики открытого мессенджера Signal раскрыли сведения о целевой атаке, направленной на получение контроля над учётными записями некоторых пользователей. Атака проведена через взлом сервиса Twilio, используемого в Signal для организации отправки SMS-сообщений с кодами подтверждения. Анализ данных показал, что взлом Twilio мог затронуть около 1900 номеров телефонов пользователей Signal, для которых атакующие имели возможность перерегистировать номера телефонов на другое устройство, после чего получать или отправлять сообщения для привязанного номера телефона (доступ к истории прошлой переписки, информации из профиля и адресной книге не мог быть получен, так как подобная информация хранится на устройстве пользователя и не передаётся на серверы Signal). В промежуток … Читать далее Попытка захвата учётных записей Signal через компрометацию SMS-сервиса Twilio

Представлена новая открытая система синтеза изображений Stable Diffusion

Открыты наработки, связанные с системой машинного обучения Stable Diffusion, синтезирующей изображения на основе текстового описания на естественном языке. Проект развивается совместными усилиями исследователями из компаний Stability AI и Runway, сообществ Eleuther AI и LAION, а также группы CompVis lab (лаборатория исследований в области машинного зрения и машинного обучения при Мюнхенском университете). По возможностям и уровню качества результата Stable Diffusion напоминает проект DALL-E 2, но развивается как открытый и общедоступный. Реализация Stable Diffusion написана на языке Python и распространяется под лицензией MIT. Готовые модели в настоящий момент предоставляются по отдельному запросу образовательным учреждениям и независимым исследователям, но разработчики обещают открыть их … Читать далее Представлена новая открытая система синтеза изображений Stable Diffusion

Выпуск мобильной платформы Android 13

Компания Google опубликовала релиз открытой мобильной платформы Android 13. Связанные с новым выпуском исходные тексты размещены в Git-репозиторий проекта (ветка android-13.0.0_r1). Обновления прошивки подготовлены для устройств серии Pixel. Позднее планируется подготовить обновления прошивок для смартфонов производства Samsung, Asus, HMD (Nokia), iQOO, Motorola, OnePlus, Oppo, Realme, Sharp, Sony, Tecno, vivo и Xiaomi. Дополнительно сформированы универсальные сборки GSI (Generic System Images), подходящие для разных устройств на базе архитектур ARM64 и x86_64. Основные новшества: Предложен набор предварительно подготовленных вариантов цветового оформления интерфейса, позволяющих немного корректировать цвета в рамках выбранной цветовой схемы. Цветовые варианты влияют на внешний вид всех компонентов операционной системы, включая фоновые … Читать далее Выпуск мобильной платформы Android 13

Продемонстрирован взлом терминала Starlink

Исследователь из Лёвенского католического университета продемонстрировал на конференции Black Hat технику компрометации пользовательского терминала Starlink, используемого для подключения абонентов к спутниковой сети SpaceX. Терминал оснащён собственным 64-разрядном SoC, созданным компанией STMicro специально для SpaceX. Программное окружение основано на Linux. Предложенный метод позволяет выполнить свой код на терминале Starlink, получить root-доступ и доступ в недоступную пользователю через обычные порты внутреннюю сеть, используемую терминалами, например, для обновления прошивок. Опубликованные наработки также могут быть применены для продвинутых экспериментов в области программно определяемых радиосистем (SDR), в силу специфичной структуры терминала Starlink (массив фазированных антенн, управляемых программно). Взлом терминала Starlink интересен с точки зрения атаки … Читать далее Продемонстрирован взлом терминала Starlink

Августовский рейтинг языков программирования TIOBE

Компания TIOBE Software опубликовала августовский рейтинг популярности языков программирования, в котором по сравнению с августом 2021 года выделяется укрепление позиций языка Python, который переместился со второго на первое место. Языки Си и Java, соответственно сместились на второе и третье места, несмотря на продолжение роста популярности (популярность Python выросла на 3.56%, а Си и Java на 2.03% и 1.96%, соответственно). Индекс популярности TIOBE строит свои выводы на основе анализа статистики поисковых запросов в таких системах, как Google, Google Blogs, Yahoo!, Wikipedia, MSN, YouTube, QQ, Sohu, Bing, Amazon и Baidu. Из изменений за год также отмечается рост популярности языков Assembly (поднялся с … Читать далее Августовский рейтинг языков программирования TIOBE

Выпуск Wine 7.15

Состоялся экспериментальный выпуск открытой реализации WinAPI — Wine 7.15. С момента выпуска версии 7.14 было закрыто 22 отчёта об ошибках и внесено 226 изменений. Наиболее важные изменения: В Direct2D реализована поддержка списков команд (объект ID2D1CommandList, предоставляющий методы для сохранения состояния набора команд, который может быть записан и повторно воспроизведён). Реализована поддержка алгоритма шифрования RSA. В WoW64, прослойку для запуска 32-разрядных программ в 64-разрядной Windows, добавлены преобразователи системных вызовов (thunk) для компонентов WIN32U. В инструментарий для тестирования кода добавлена возможность выделения результатов цветом. Закрыты отчёты об ошибках, связанные с работой игр: Witcher 3, Just Cause 4, Unravel Two, Call of Cthulhu, … Читать далее Выпуск Wine 7.15

Выпуск GNU Binutils 2.39

Опубликован релиз набора системных утилит GNU Binutils 2.39, в состав которого входят такие программы, как GNU linker, GNU assembler, nm, objdump, strings, strip. В новой версии: В компоновщике файлов в формате ELF (ELF linker) реализован вывод предупреждения при включении возможности исполнения кода в стеке, а также при наличии в бинарном файле сегментов памяти, для которых выставлены одновременно права на чтение, запись и исполнение. В ELF linker добавлена опция «—package-metadat» для встраивания в файл метаданных в формате JSON, соответствующих спецификации Package Metadata. В скрипты компоновщика добавлена поддержка использования в описании секции метки TYPE=‹type› для установки типа секции. В утилите objdump появилась … Читать далее Выпуск GNU Binutils 2.39

Уязвимость в ядре Linux, позволяющая изменить содержимое tmpfs и разделяемой памяти

В ядре Linux выявлена уязвимость (CVE-2022-2590), позволяющая непривилегированному пользователю изменить отражённые в память файлы (mmap) и файлы в tmpfs, не имея прав на запись в них, и поднять свои привилегии в системе. По своему типу выявленная проблема напоминает уязвимость Dirty COW, но отличается тем, что ограничивается только воздействием на данные в разделяемой памяти (shmem / tmpfs). Проблема в том числе может применяться для модификации запущенных исполняемых файлов, использующих разделяемую память. Проблема вызвана состоянием гонки в подсистеме управления памятью, возникающем при обработке исключения (fault), генерируемого при попытке доступа на запись к доступным только на чтение областям в разделяемой памяти, отражённым в … Читать далее Уязвимость в ядре Linux, позволяющая изменить содержимое tmpfs и разделяемой памяти

SQUIP — атака на процессоры AMD, приводящая к утечке данных по сторонним каналам

Группа исследователей из Грацского технического университета (Австрия), ранее известная разработкой атак MDS, NetSpectre, Throwhammer и ZombieLoad, раскрыла сведения о новом методе атаки по сторонним каналам (CVE-2021-46778) на очереди планировщика процессоров AMD, применяемые для планирования выполнения инструкций в разных исполнительных блоках CPU. Атака, получившая название SQUIP, позволяет определить используемые при вычислениях в другом процессе или виртуальной машине данные или организовать скрытый канал связи между процессами или виртуальными машинами, позволяющий обмениваться данными в обход системных механизмов разграничения доступа. Проблеме подвержены CPU AMD на базе микроархитектур Zen первого, второго и третьего поколений (AMD Ryzen 2000-5000, AMD Ryzen Threadripper, AMD Athlon 3000, AMD EPYC) … Читать далее SQUIP — атака на процессоры AMD, приводящая к утечке данных по сторонним каналам

Выпуск языка программирования Rust 1.63

Опубликован релиз языка программирования общего назначения Rust 1.63, основанного проектом Mozilla, но ныне развиваемого под покровительством независимой некоммерческой организации Rust Foundation. Язык сфокусирован на безопасной работе с памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime (runtime сводится к базовой инициализации и сопровождению стандартной библиотеки). Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения … Читать далее Выпуск языка программирования Rust 1.63

Microsoft открыл библиотеку Emoji

Компания Microsoft опубликовала библиотеку Emoji, включающую более полутора тысяч значков, доступных в различных представлениях (3D, многоцветные, плоские, высококонтрастные). Содержимое библиотеки соответствует новому набору Emoji, предложенному пользователям Windows 11 в прошлом году, дополненному 3D-вариантами значков. Библиотека открыта под лицензией MIT, позволяющей создавать производные работы и использовать значки в своих продуктах. Источник: http://www.opennet.ru/opennews/art.shtml?num=57627 Читать далее Microsoft открыл библиотеку Emoji

Релиз Ubuntu 22.04.1 LTS

Компания Canonical представила первый корректирующий выпуск дистрибутива Ubuntu 22.04.1 LTS, в который включены обновления для нескольких сотен пакетов, связанные с устранением уязвимостей и проблем, влияющих на стабильность. В новой версии также исправлены ошибки в инсталляторе и загрузчике. Релиз Ubuntu 22.04.1 ознаменовал прохождение базовой стабилизации LTS-выпуска — пользователям Ubuntu 20.04 теперь будет предложено осуществить обновление до ветки 22.04. Одновременно представлены аналогичные обновления Ubuntu Budgie 22.04.1 LTS, Kubuntu 22.04.1 LTS, Ubuntu MATE 22.04.1 LTS, Ubuntu Studio 22.04.1 LTS, Lubuntu 22.04.1 LTS, Ubuntu Kylin 22.04.1 LTS и Xubuntu 22.04.1 LTS. Использовать представленные сборки имеет смысл только для новых установок, системы, установленные ранее, могут … Читать далее Релиз Ubuntu 22.04.1 LTS

Выпуск открытого движка Heroes of Might and Magic 2 — fheroes2 — 0.9.18

Доступен выпуск проекта fheroes2 0.9.18, который воссоздает движок игры Heroes of Might and Magic II с нуля. Код проекта написан на C++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить, например, из демо-версии Heroes of Might and Magic II или из оригинальной игры. Основные изменения: Переработан код, отвечающий за воспроизведение MIDI и позволяющий продолжать композиции с того места, на котором они остановились. Исправлено запаздываение некоторых звуков. Новая система отрисовки объектов на карте приключений, которая закрыла более 40 проблем, связанных с отображением. Исправлена логика расстановки существ в бою и генерация их в посещаемых … Читать далее Выпуск открытого движка Heroes of Might and Magic 2 — fheroes2 — 0.9.18

AEPIC Leak — атака, приводящая к утечке ключей из анклавов Intel SGX

Раскрыты сведения о новой атаке на процессоры Intel — AEPIC Leak (CVE-2022-21233), приводящей к утечке конфиденциальных данных из изолированных анклавов Intel SGX (Software Guard eXtensions). Проблема затрагивает 10, 11 и 12 поколения CPU Intel (включая новые серии Ice Lake и Alder Lake) и вызвана архитектурной недоработкой, позволяющей получить доступ неинициализированным данным, оставшимся в регистрах APIC (Advanced Programmable Interrupt Controller) после выполнения прошлых операций. В отличие от атак класса Spectre, утечка в AEPIC Leak происходит без применения методов восстановления по сторонним каналам — сведения о конфиденциальных данных передаются напрямую через получение содержимого регистров, отражённых в странице памяти MMIO (memory-mapped I/O). В … Читать далее AEPIC Leak — атака, приводящая к утечке ключей из анклавов Intel SGX

Google расширил программу стимулирования выявления уязвимостей в ядре Linux

Компания Google объявила о расширении инициативы по выплате денежных вознаграждений за выявление уязвимостей в ядре Linux. Максимальный размер выплаты за новую уязвимость и создание на её основе рабочего эксплоита увеличен с 91 до 133 тысяч долларов. Помимо ранее применявшегося окружения kCTF (Kubernetes Capture the Flag) для попыток взлома предложены новые окружения: на основе последней стабильной ветки обычного ядра Linux и на основе ветки ядра, в которую включены дополнительные патчи для блокирования типовых методов работы эксплоитов. За создание эксплоитов, поражающих окружение со свежей стабильной веткой ядра, выплачивается дополнительное вознаграждение в 21 тысячу долларов. За взлом окружения с расширенными мерами защиты может … Читать далее Google расширил программу стимулирования выявления уязвимостей в ядре Linux

Компания NVIDIA опубликовала заголовочные файлы с данными для программирования 3D-движков

Компания NVIDIA опубликовала заголовочные файлы, включающие около 73 тысяч строк с информацией о параметрах, операциях и режимах, используемых для программирования 3D-движков и работы с текстурами. Данные опубликованы для GPU на базе архитектур Fermi, Kepler, Pascal, Maxwell, Volta, Turing и Ampere. Информация открыта под лицензией MIT и может быть использована для усовершенствования свободного драйвера Nouveau. Источник: http://www.opennet.ru/opennews/art.shtml?num=57618 Читать далее Компания NVIDIA опубликовала заголовочные файлы с данными для программирования 3D-движков