Уязвимость в UEFI-прошивках Phoenix, затрагивающая многие устройства с CPU Intel

В UEFI-прошивках Phoenix SecureCore, используемых на многих ноутбуках, ПК и серверах с процессорами Intel, выявлена уязвимость (CVE-2024-0762), позволяющая при наличии доступа к системе добиться выполнения кода на уровне прошивки. Уязвимость может использоваться после успешного совершения атаки на систему для оставления в прошивке бэкдора, работающего над операционной системой, обходящего механизмы обеспечения безопасности ОС, незаметного для программ определения вредоносного ПО и сохраняющего своё присутствие после переустановки ОС.

Подробнее здесь https://telegra.ph/Uyazvimost-v-UEFI-proshivkah-Phoenix-zatragivayushchaya-mnogie-ustrojstva-s-CPU-Intel-06-24

Сервер удален из базы провайдера

F.
2023-2024

Архивные версии статей в скором времени станут доступны. Будут простые HTML страницы на бесплатном хостинге Vercel

Сайт снова в строю. Благодарим за это @CarbonatedCat

ЕС обвинила Microsoft в нарушении антимонопольного законодательства из-за связи Teams с Microsoft 365 //

Еврокомиссия выдвинула против Microsoft обвинения в нарушении антимонопольного законодательства ЕС, утверждая, что компания незаконно связала свое приложение для общения и совместной работы Teams с популярными офисными пакетами для бизнеса Office 365 и Microsoft 365. Регуляторы считают, что это даёт Teams неоправданное преимущество над конкурентами.

Читать полностью: https://dzero.space/posts/es-obvinila-microsoft-v-narushenii-antimonopolnogo-zakonodat

@dzero_it

Роскомнадзор потребовал от Google и Opera заблокировать расширение для обхода блокировок //

По информации СМИ, Роскомнадзор потребовал от разработчиков Google и Opera, а также от разработчика расширения Censor Tracker ограничить его работу на территории РФ.

Читать полностью: https://dzero.space/posts/roskomnadzor-potreboval-ot-google-i-opera-zablokirovat-rassh

@dzero_it

Фонд СПО утвердил трёх новых членов совета директоров //

Фонд свободного ПО объявил об увеличении с 6 до 9 числа участников совета директоров, который является надзорным и совещательным органом, помогающим в достижении поставленных перед Фондом целей, определяющим миссию, задачи и долгосрочную стратегию Фонда, контролирующим деятельность президента и исполнительного директора. Три новых члена совета выбраны из 83 кандидатур и до окончательного утверждения прошли трёхмесячный испытательный срок.

Читать полностью: https://dzero.space/posts/fond-spo-utverdil-tryoh-novyh-chlenov-soveta-direktorov

@dzero_it

Выпуск проприетарного драйвера NVIDIA 555.58 //

Компания NVIDIA опубликовала стабильный выпуск новой ветки проприетарного драйвера NVIDIA 555.58. Драйвер доступен для Linux (ARM64, x86_64), FreeBSD (x86_64) и Solaris (x86_64). NVIDIA 550.x стала седьмой стабильной веткой после открытия компанией NVIDIA компонентов, работающих на уровне ядра. Исходные тексты модулей ядра nvidia.ko, nvidia-drm.ko (Direct Rendering Manager), nvidia-modeset.ko и nvidia-uvm.ko (Unified Video Memory) из новой ветки NVIDIA, а также используемые в них общие компоненты, не привязанные к операционной системе, размещены на GitHub. Прошивки и используемые в пространстве пользователя библиотеки, такие как стеки CUDA, OpenGL и Vulkan, остаются проприетарными.

Читать полностью: https://dzero.space/posts/vypusk-proprietarnogo-drajvera-nvidia-55558

@dzero_it

Новые версии Debian 12.6 и 11.10 //

Сформировано шестое корректирующее обновление дистрибутива Debian 12, в которое включены накопившиеся обновления пакетов и добавлены исправления в инсталлятор. Выпуск включает 162 обновления с устранением проблем со стабильностью и 84 обновления с устранением уязвимостей.

Читать полностью: https://dzero.space/posts/novye-versii-debian-126-i-1110

@dzero_it

Обновление KB5039302 для Windows 11 22H2 и 23H2 может приводить к бесконечным перезагрузкам //

Несколько дней назад Microsoft выпустила необязательное накопительное обновление с кодом KB5039302 для Windows 11 версий 22H2 и 23H2 (сборки 22621.3810 и 22631.3810 соответственно), которое принесло с собой несколько исправлений и нововведений. Однако после его установки некоторые пользователи столкнулись с бесконечной перезагрузкой компьютера.

Читать полностью: https://dzero.space/posts/obnovlenie-kb5039302-dlya-windows-11-22h2-i-23h2-mozhet-priv

@dzero_it

В Fedora 42 намерены реализовать телеметрию и изменить модель доступа к дискам и flatpak //

В выпуск Fedora Workstation 42, намеченный на весну следующего года, предложено добавить компоненты для сбора и отправки метрик, которые позволят изучить реальные предпочтения пользователей и учесть их при принятии решений, связанных с развитием дистрибутива, определением приоритетов в разработке и повышением удобства работы пользователей. Предложение пока находится на стадии обсуждения и не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora.

Читать полностью: https://dzero.space/posts/v-fedora-42-namereny-realizovat-telemetriyu-i-izmenit-model

@dzero_it

Microsoft готовит новую волну сокращений в подразделении Xbox //

После волны увольнений в январе и закрытия студий в мае, Microsoft готовится к новым сокращениям в подразделении Xbox. Об этом сообщает редактор портала The Verge Том Уоррен.

Читать полностью: https://dzero.space/posts/microsoft-gotovit-novuyu-volnu-sokrashenij-v-podrazdelenii-x

@dzero_it

Google начнёт выплачивать вознаграждения за выявление уязвимостей в гипервизоре KVM //

Компания Google представила инициативу kvmCTF, в рамках которой исследователи безопасности могут получить денежное вознаграждение за выявление уязвимостей в гипервизоре KVM (Kernel-based Virtual Machine). Интерес Google к KVM обусловлен использованием данного гипервизора в сервисе Google Cloud, а также в платформах Android и ChromeOS (CrosVM основан на KVM). Для получения вознаграждения должен быть продемонстрирован взлом специально подготовленного окружения CTF (Capture the Flag) на базе свежего ядра Linux, выполняющего виртуальную машину, доступ к которой предоставляется по заявкам. Атакующему предлагается эксплуатировать уязвимость в подсистеме KVM в ядре Linux, обеспечивающем работу хост-системы в данном окружении.

Читать полностью: https://dzero.space/posts/google-nachnyot-vyplachivat-voznagrazhdeniya-za-vyyavlenie-u

@dzero_it

Indirector - новая микроархитектурная атака, затрагивающая CPU Intel Raptor Lake и Alder Lake //

Исследователи из Калифорнийского университета в Сан-Диего представили новый метод атаки на микроархитектурные структуры процессоров Intel, применимый среди прочего к CPU на базе микроархитектур Raptor Lake и Alder Lake. Атака, которая получила кодовое имя Indirector, позволяет добиться изменения хода спекулятивного выполнения инструкций в других процессах и на других уровнях привилегий (например, в ядре или другой виртуальной машине), выполняемых в одном потоке CPU с кодом атакующего. В качестве демонстрации работы метода подготовлен прототип эксплоита, позволяющий определить раскладку адресов памяти для обхода механизма защиты ASLR (Address Space Layout Randomization). Кроме того, под лицензией MIT опубликован инструментарий, разработанный для анализа и обратного инжиниринга микроархитектурной логики CPU.

Читать полностью: https://dzero.space/posts/indirector-novaya-mikroarhitekturnaya-ataka-zatragivayushaya

@dzero_it

В приложении Microsoft Store для Windows 11 появился поиск по библиотеке //

В новой версии приложения Microsoft Store для Windows 11 появилось поле поиска в разделе «Библиотека», что значительно ускоряет поиск приложений и игр, которые вы когда-то устанавливали. Ранее была доступна только сортировка по названию и даже добавления в библиотеку, поэтому приходилось либо пролистывать длинный список, либо искать приложение через поиск по магазину. Нововведение обнаружил пользователь под ником phantomofearth.

Читать полностью: https://dzero.space/posts/v-prilozhenii-microsoft-store-dlya-windows-11-poyavilsya-poi

@dzero_it

В состав DXVK добавлена поддержка Direct3D 8 //

В состав прослойки DXVK, предоставляющей реализацию графического API Direct3D 9, 10 и 11, работающую через трансляцию вызовов в API Vulkan, интегрированы наработки проекта D8VK, обеспечивающего трансляцию Direct3D 8 в API Vulkan. Все связанные с проектом D8VK разработки теперь будут вестись в составе кодовой базы DXVK, в которой D8VK оформлен в виде бэкенда для Direct3D 8. По сравнению с проектами WineD3D и d3d8to9, в которых применяется трансляция Direct3D 8 в OpenGL и Direct3D 9, трансляция в API Vulkan позволила добиться более высокой производительности, стабильности и совместимости с играми.

Читать полностью: https://dzero.space/posts/v-sostav-dxvk-dobavlena-podderzhka-direct3d-8

@dzero_it

В Debian GNU/Hurd обеспечена сборка 71% пакетов Debian //

Разработчики проекта Hurd объявили об обеспечении возможности сборки в дистрибутиве Debian GNU/Hurd 71% пакетов архива Debian. В прошлом году этот показатель составлял 58%. Из других достижений GNU/Hurd отмечается портирование ядра Mach для архитектуры AArch64 и принятие патчей, позволяющих использовать GCC для сборки программ GNU/Hurd для AArch64. В настоящее время порт пока не обеспечивает всю желаемую функциональность, но уже может использоваться для запуска простых приложений. В ядре GNU Mach реализована экспериментальная поддержка симметричной многопоточности (SMP). Решены проблемы со сборкой с использования GCC 14. Добавлена поддержка компилятора rustc, что позволяет собирать для GNU/Hurd приложения, написанные на языке Rust.

Читать полностью: https://dzero.space/posts/v-debian-gnuhurd-obespechena-sborka-71-paketov-debian

@dzero_it

Критическая уязвимость в GitLab //

Опубликованы корректирующие обновления платформы для организации совместной разработки - GitLab 17.1.2, 17.0.4 и 16.11.6, в которых устранены 6 уязвимостей. Одной из проблем (CVE-2024-6385) присвоен критический уровень опасности. Как и уязвимость, устранённая в прошлом месяце, новая проблема позволяет запустить работы в конвейере непрерывной интеграции (pipeline jobs) под произвольным пользователем.

Читать полностью: https://dzero.space/posts/kriticheskaya-uyazvimost-v-gitlab

@dzero_it

Microsoft продолжает работать над улучшением меню «Пуск» в Windows 11. За последнее время в инсайдерских сборках появился обновлённый дизайн раздела « //

Microsoft продолжает работать над улучшением меню «Пуск» в Windows 11. За последнее время в инсайдерских сборках появился обновлённый дизайн раздела «Все приложения», в котором привычный список приложений заменили на сетку с алфавитным указателем. Также началось тестирование интеграции с приложением «Связь с телефоном», которая позволяет взаимодействовать с подключённым Android-смартфоном прямо из меню «Пуск».

Читать полностью: https://dzero.space/posts/microsoft-prodolzhaet-rabotat-nad-uluchsheniem-menyu-pusk-v

@dzero_it

Выпуск GNU Automake 1.17, инструментария для генерации сборочных файлов //

Спустя шесть лет с момента прошлого выпуска опубликован релиз Automake 1.17, утилиты для автоматической генерации make-файлов, соответствующих стандартам кодирования проекта GNU. В новой версии параметр AM_PATH_PYTHON изменён для использования в качестве приоритетной ветки Python 3 вместо Python 2, в случае наличия обеих веток в системе. Добавлено определение версий Python новее 3.9. В скрипте py-compile прекращена поддержка выпусков Python 0.x и 1.x, в качестве минимальной заявлена версия Python 2.0, выпущенная в 2000 году.

Читать полностью: https://dzero.space/posts/vypusk-gnu-automake-117-instrumentariya-dlya-generacii-sboro

@dzero_it

Выпуск пакетного менеджера Pacman 7.0 //

Доступен релиз пакетного менеджера Pacman 7.0, применяемого в дистрибутиве Arch Linux.

Читать полностью: https://dzero.space/posts/vypusk-paketnogo-menedzhera-pacman-70

@dzero_it