IT Новости №5
Обновлено 23.02.2024
Приветствую!
Давненько не было новостей. Сегодня коротко и выборочно о последних интересных новостях в мире IT и открытого программного обеспечения
Навигация:
- Баги GitHub вызвали суматоху в сообществе криптовалют и среди пользователей GNU/Linux
- Уязвимость, затрагивающая все дистрибутивы Linux. Можно получить root-привилегии
- Mozilla будет продавать телеметрию пользователей рекламным сетям
- Релиз Proton 7.0 от Valve. Используется в Steam для запуска Windows игр в Linux
- Конфликт. Раскол Solus и Budgie
1. Баги GitHub вызвали суматоху в сообществе криптовалют и среди пользователей GNU/Linux
В репозитории ядра Linux на GitHub был опубликован коммит, якобы от лица Линуса Торвальдца, с текстом «Name = I am Satoshi»
Данная новость выстрелила во всех криптовалютных изданиях, а миллионы людей по всему миру подогревали интерес, дисскуссиями “Он или не он?” обсуждая это в Twitter, Reddit и Ycombinator.
Сатоши Накамото — создатель Bitcoin, так и не раскрыл никаких реальных сведений о своей личности, став самым популярным анонимным героем современности.
В конечном итоге вся шумиха вокруг злосчастного коммита дошла и до самого Линуса Торвальдса:
«Боюсь, это просто некий шутник, использующий в своих интересах баги GitHub — вы можете использовать «имя» SHA1 объекта, чтобы указать что-то, что вы сделали в своем собственном дереве, а затем использовать мой репозиторий в качестве веб-имени и сделайте так, чтобы ваш объект был в моем дереве» — Поясняет Торвальдс.
«Таким образом, часть «torvalds/linux» в этом URL-адресе — это просто пустой звук, предназначенный для того, чтобы обмануть людей.
Так что нет — я, к сожалению, не являюсь владельцем огромного запаса оригинальных биткойнов». — заключил товарищ Торвальдс
К слову, мне удалось обнаружить и еще один подобный репозиторий созданный неизвестным шутником. В нем якобы товарищ Торвальдс пропагандирует WindowsXP. 😅Тем не менее, даже данные очевидные факты, не убедили некоторых фанатов Bitcoin, которые продолжили считать Линуса создателем криптовалюты.
=============
Настоящая личность товарища Накамото по всей видимости так и остается тайной.
Источник: Чёрный треугольник
2. Уязвимость, затрагивающая все дистрибутивы Linux. Можно получить root-привилегии
Специалисты из американской компании Qualys, занимающейся облачной безопасностью и сопутствующими услугами, обнаружили уязвимость, которая затрагивает все дистрибутивы Linux. Уязвимость была обнаружена в компоненте Polkit, также известном как PolicyKit.
Компонент PolicyKit используется для предоставления непривилегированным процессам возможности выполнения действий, которые требуют прав администратора. В состав PolicyKit входит утилита pkexec, которая позволяет авторизированным пользователям запускать программы от имени другого пользователя, включая root-пользователя.
Обнаруженная уязвимость позволяет непривилегированному пользователю получить привилегии root в системе. Сотрудники Qualys разработали эксплойт, с помощью которого смогли получить полные root-привилегии на стандартных установках дистрибутивов Ubuntu, Debian, Fedora и CentOS. Другие дистрибутивы, вероятно, также подвержены данной уязвимости.
Уязвимости был присвоен номер: CVE-2021-4034.
Принцип «взлома» основан на том, что при запуске утилиты pkexec не выполняется проверка счетчика количества аргументов командной строки (argc). В Linux можно выполнить команду pkexec без аргументов, используя системный вызов execve().
После такого вызова, pkexec попытается выполнить программу с правами суперпользователя, пытаясь получить название программы (команды) из первого аргумента командной строки (argv[1]), который на самом деле не был передан pkexec. В результате pkexec будет читать содержимое аргумента из области памяти, в которой размещаются переменные окружения, так как за массивом аргументов argv следует массив переменных окружения envp. Злоумышленник может определенным образом изменить соответствующую переменную окружения, что в результате позволит ему выполнить свой процесс с правами root-пользователя.
В целях безопасности сотрудники сотрудники Qualys не стали выкладывать свой эксплойт в общий доступ, так как уязвимость очень легко воспроизвести.
Примечательно, что данная уязвимость существует уже более 12 лет и затрагивает все версии pkexec, начиная с первой версии, которая вышла в мае 2009 года.
На сегодняшний день почти все популярные дистрибутивы уже подготовили патчи с устранением данной уязвимости. Если патч для вашего дистрибутива пока не готов, то в качестве временного решения можно удалить SUID-бит из pkexec, выполнив команду:
Источник: Pingvinus.ru
3. Mozilla будет продавать телеметрию пользователей рекламным сетям
Mozilla совместно с корпорацией зла Facebook работает над реализацией технологии IPA дающей возможность рекламным сетям получать и обрабатывать статистику об эффективности рекламных кампаний на основе телеметрии каждого пользователя Firefox.
IPA будет агрегировать в себе измерение всех видов конверсии рекламы, включая анализ статистики по просмотрам, переходам, активности пользователя после перехода, сравнение конверсии между пользователям посмотревшими и не посмотревшими рекламу, оценка эффективности на разных сайтах, связывание взаимодействия с рекламой одного пользователя в разных браузерах и на разных устройствах. 😡
Mozilla и Facebook утверждают, что IPA дает возможность рекламным сетям получать статистику, соблюдая при этом конфиденциальность пользователей.
☝🏻Однако, это лишь способ обхода (легальное нарушение) существующих законов о приватности.
Источник: Чёрный треугольник
4. Релиз Proton 7.0 от Valve. Используется в Steam для запуска Windows игр в Linux
Cостоялся релиз игрового пакета Proton 7.0, разрабатываемый компанией Valve.
Proton представляет собой набор программных компонентов, предназначенных для запуска Windows игр в Linux. Использует наработки проекта Wine и реализует поддержку DirectX 9-12 под Linux. Proton используется в игровом клиенте Steam. Разрабатывается компанией Valve.
Добавлена поддержка работы в Linux следующих игр:
- Anno 1404
- Call of Juarez
- DCS World Steam Edition
- Disgaea 4 Complete+
- Dungeon Fighter Online
- Epic Roller Coasters XR
- Eternal Return
- Forza Horizon 5
- Gravity Sketch VR
- Monster Hunter Rise
- NecroVisioN
- Nights of Azure
- Oceanhorn: Monster of the Uncharted Seas
- Order of War
- Persona 4 Golden
- Resident Evil 0
- Resident Evil Revelations 2
- Rocksmith 2014 Edition
- SCP: Secret Laboratory
- Wargroove
- Wartales
- Yakuza 4 Remastered
Выполнены различные улучшения производительности, связанные со вводом, управлением окнами, распределением памяти, которые до этого были реализованы в экспериментальной версии.
- Добавлена поддержка сервиса Easy Anti-Cheat.
- Добавлена поддержка локального декодирования видео H264.
- Улучшена поддержка контроллеров ввода Steam для игр, запущенных через Origin.
- Улучшена поддержка аудио в играх Skyrim и Fallout 4.
- Исправлено моргание в лаунчере Mount & Blade II: Bannerlord.
- Исправлена ошибка, из-за которой в Age of Empires IV и Marvel’s Avengers отображались предупреждения графических драйверов.
- Исправлена работа звука в Mass Effect 1 (Mass Effect Legendary Edition).
- Исправлены различные проблемы в Doom Eternal, Far Cry, Pathfinder: Wrath of the Righteous.
- Wine 7.0
- DXVK 1.9.4
- vkd3d-proton 2.5-146-g33f17cc7
- wine-mono 7.1.2
И многое другое.
Источник: Pingvinus.ru
5. Конфликт. Раскол Solus и Budgie
В январе 2022 ведущий разработчик дистрибутива Solus, Джошуа Стробл (Joshua Strobl), объявил о том, что он уходит из проекта. Джошуа присоединился к проекту Solus около 7 лет назад. Изначально он вносил патчи, но постепенно стал принимать более активное участие в разработке. В 2018 году стал одним из руководителей проекта Solus.
Solus — независимый дистрибутив Linux. Использует оболочку Budgie. Доступны редакции Solus со следующими средами рабочего стола: Budgie, GNOME, KDE Plasma, MATE.
В сентябре 2021 Джошуа представил широкий круг вопросов и изменений, которые помогли бы решить ряд проблем, связанных с внесением изменений в проект, а также улучшили бы работу с сообществом. Он пишет, что он не был идеальным руководителем, но старался быть открытым для обратной связи, предложений и изменений. Тем не менее ни один из поднятых им вопросов, не был рассмотрен, все его предложения были проигнорированы. Это стало «последней каплей» и Джошуа принял решение уйти из проекта Solus.
Джошуа кратко описал свои дальнейшие планы. Он планирует создать отдельную организацию для разработки Budgie, и привлечь для этого людей из проектов Ubuntu Budgie, Endeavour OS и других. Также он присоединится к разработке дистрибутива SerpentOS.
Дистрибутив Solus продолжит развиваться, об этом написала технический директор проекта, Беатрис Майерс: «В свете заявления Джоша об уходе из проекта, я просто хочу заверить вас, что мы все еще планируем „поддерживать свет“. Будут некоторые изменения в структуре и задачах команды. Я надеюсь, что в ближайшие недели мы сможем рассказать о них подробнее.» Таким образом, окружение Budgie и дистрибутив Solus продолжат развиваться в рамках разных проектов.
Источник: Pingvinus.ru
Предыдущие новости:
