Специалисты Pen Test Partners обнаружили опасный баг в Lenovo Solution Center (LSC), которое предустанавливалось на многие Windows-машины компании.
https://www.pentestpartners.com/security-blog/privesc-in-lenovo-solution-centre-10-minutes-later/
Уязвимость получила идентификатор CVE-2019-6177, она позволяет атакующему повысить свои привилегии в системе. Все дело в перезаписи DACL, благодаря чему привилегированный процесс Lenovo может свободно перезаписывать привилегии файлов, которые контролирует пользователь с низкими привилегиями. Фактически это может быть использовано для выполнения произвольного кода в системе с привилегиями администратора или SYSTEM. Хуже того, исследователи отмечают, что баг скрывался в коде утилиты много лет, с самого ее релиза в 2011 году.
Рекомендуется срочно удалить Lenovo Solution Center. Дело в том, что эксперты уведомили разработчиков Lenovo о проблеме еще в мае 2019 года, но на сайте компании значилось, что срок поддержки LSC истек в ноябре 2018 года, а пользователям было рекомендовано перейти на Lenovo Vantage или Lenovo Diagnostics.
После получения информации об уязвимости, представители Lenovo и вовсе задним числом изменили дату прекращения поддержки на апрель 2018 года, хотя последняя версия LSC была выпущена в октябре 2018 года, как видно на иллюстрации ниже. Специалисты Pen Test Partners предполагают, что таким образом Lenovo заметает следы, однако не совсем уверены, зачем в компании это делают.
Словом, Lenovo определенно не собирается исправлять проблему в LSC. Вместо этого компания опубликовала бюллетень безопасности, в котором тоже посоветовала пользователям переходить на Lenovo Vantage или Lenovo Diagnostics, а также отметила, что поддержка LSC была прекращена еще в апреле прошлого года (что, как мы знаем, не совсем правда).
Красиво сработано.
https://xakep.ru/2019/08/26/lsc-flaw/
https://www.pentestpartners.com/security-blog/privesc-in-lenovo-solution-centre-10-minutes-later/
Уязвимость получила идентификатор CVE-2019-6177, она позволяет атакующему повысить свои привилегии в системе. Все дело в перезаписи DACL, благодаря чему привилегированный процесс Lenovo может свободно перезаписывать привилегии файлов, которые контролирует пользователь с низкими привилегиями. Фактически это может быть использовано для выполнения произвольного кода в системе с привилегиями администратора или SYSTEM. Хуже того, исследователи отмечают, что баг скрывался в коде утилиты много лет, с самого ее релиза в 2011 году.
Рекомендуется срочно удалить Lenovo Solution Center. Дело в том, что эксперты уведомили разработчиков Lenovo о проблеме еще в мае 2019 года, но на сайте компании значилось, что срок поддержки LSC истек в ноябре 2018 года, а пользователям было рекомендовано перейти на Lenovo Vantage или Lenovo Diagnostics.
После получения информации об уязвимости, представители Lenovo и вовсе задним числом изменили дату прекращения поддержки на апрель 2018 года, хотя последняя версия LSC была выпущена в октябре 2018 года, как видно на иллюстрации ниже. Специалисты Pen Test Partners предполагают, что таким образом Lenovo заметает следы, однако не совсем уверены, зачем в компании это делают.
Словом, Lenovo определенно не собирается исправлять проблему в LSC. Вместо этого компания опубликовала бюллетень безопасности, в котором тоже посоветовала пользователям переходить на Lenovo Vantage или Lenovo Diagnostics, а также отметила, что поддержка LSC была прекращена еще в апреле прошлого года (что, как мы знаем, не совсем правда).
Красиво сработано.
https://xakep.ru/2019/08/26/lsc-flaw/
Как же это омерзительно.
Конференция phpCE, которая должна была состояться 4-6 Октября в Дрездене, была отменена после упреков из-за отсуствия докладчиков женского пола.
https://2019.phpce.eu/en/
Конференция phpCE, которая должна была состояться 4-6 Октября в Дрездене, была отменена после упреков из-за отсуствия докладчиков женского пола.
https://2019.phpce.eu/en/
Microsoft выступил с инициативой включения поддержки exFAT в состав ядра Linux.
http://www.opennet.ru/opennews/art.shtml?num=51374
З.Ы. Выступаем с инициативой использовать ext4 в Microsoft.
http://www.opennet.ru/opennews/art.shtml?num=51374
З.Ы. Выступаем с инициативой использовать ext4 в Microsoft.
www.opennet.ru
Microsoft выступил с инициативой включения поддержки exFAT в состав ядра Linux
Компания Microsoft опубликовала технические спецификации на файловую систему exFAT и выразила готовность передать права на использование всех связанных с exFAT патентов для безвозмездного использования в Linux. Отмечается, что опубликованной документации…
Многолетний спор улажен — AMD выплатит недовольным владельцам CPU Bulldozer компенсацию (по $35 за чип).
В 2015 году против AMD был подан коллективный иск, касающийся выпускаемых этим производителем x86-совместимых процессоров Bulldozer, а точнее, методики подсчета количества ядер в этих CPU. И вот вчера стало известно, что спустя четыре года разбирательств AMD согласилась выплатить недовольным владельцам чипов компенсацию, чтобы наконец поставить точку в этой истории с «ложной рекламой».
Коротко напомним суть конфликта. «Красным» вменяли обман покупателей по поводу количества процессорных ядер у Bulldozer. Напомним, у этих CPU были свои архитектурные особенности: два процессорных ядра соседствовали в едином модуле с общим блоком вычислений с плавающей запятой, кэш-памятью второго уровня и прочими компонентами. В маркетинговых материалах AMD называла старшие CPU «первыми в мире 8-ядерными настольными процессорами», тогда как разное ПО определяло их как 4-ядерные/8-поточные. Истцы обвинили AMD в ложной рекламе и обмане, они заплатили за восемь полноценных ядер, но по факту получили всего четыре с поддержкой многопоточности. И вот спустя четыре года судебных разбирательств пользователям удалось отстоять свою точку зрения.
Этот неудачный маркетинговый ход обойдется AMD в $12,1 млн. Но из этой суммы около 30% достанется юридической фирме, представляющей интересы покупателей, а последние получат оставшиеся 70% (примерно по $35 на каждый чип). Важно отметить, что претендовать на компенсацию сможет не всякий владелец, а лишь те, кто купил CPU непосредственно в Калифорнии или через официальный сайт AMD.
https://www.tomshardware.com/news/amd-fx-bulldozer-false-advertising-class-action-lawsuit-eight-cores-settlement,40256.html
В 2015 году против AMD был подан коллективный иск, касающийся выпускаемых этим производителем x86-совместимых процессоров Bulldozer, а точнее, методики подсчета количества ядер в этих CPU. И вот вчера стало известно, что спустя четыре года разбирательств AMD согласилась выплатить недовольным владельцам чипов компенсацию, чтобы наконец поставить точку в этой истории с «ложной рекламой».
Коротко напомним суть конфликта. «Красным» вменяли обман покупателей по поводу количества процессорных ядер у Bulldozer. Напомним, у этих CPU были свои архитектурные особенности: два процессорных ядра соседствовали в едином модуле с общим блоком вычислений с плавающей запятой, кэш-памятью второго уровня и прочими компонентами. В маркетинговых материалах AMD называла старшие CPU «первыми в мире 8-ядерными настольными процессорами», тогда как разное ПО определяло их как 4-ядерные/8-поточные. Истцы обвинили AMD в ложной рекламе и обмане, они заплатили за восемь полноценных ядер, но по факту получили всего четыре с поддержкой многопоточности. И вот спустя четыре года судебных разбирательств пользователям удалось отстоять свою точку зрения.
Этот неудачный маркетинговый ход обойдется AMD в $12,1 млн. Но из этой суммы около 30% достанется юридической фирме, представляющей интересы покупателей, а последние получат оставшиеся 70% (примерно по $35 на каждый чип). Важно отметить, что претендовать на компенсацию сможет не всякий владелец, а лишь те, кто купил CPU непосредственно в Калифорнии или через официальный сайт AMD.
https://www.tomshardware.com/news/amd-fx-bulldozer-false-advertising-class-action-lawsuit-eight-cores-settlement,40256.html
Tom's Hardware
AMD Settles FX Bulldozer False Advertising Lawsuit for Roughly $35 a Chip
AMD has settled a class-action false advertising lawsuit for marketing its FX Bulldozer lineup of chips as coming with eights cores.
This media is not supported in your browser
VIEW IN TELEGRAM
Molex to SATA - сожги все нахъ.
Немного истории: Рекламный ролик Win7.
https://www.youtube.com/watch?v=XBq-FFM5VhM
Мне нравится, что там есть ватермарка Gentoo.
https://www.youtube.com/watch?v=XBq-FFM5VhM
Мне нравится, что там есть ватермарка Gentoo.
YouTube
[ENG SUBBED] Windows 7 Madobe Nanami Commercial
Subs by BSS
Install gentoo
Install gentoo