В GRUB2 нашли шесть дыр ломающих UEFI Secure Boot

Вышел масштабный набор патчей для загрузчика GRUB2. Большинство уязвимостей это классические use-after-free, но на этот раз они позволяют обойти главный защитный механизм UEFI Secure Boot. По сути, это возможность выполнить свой код после того, как цепочка доверия уже прошла проверку, но до загрузки самой ОС.

Дело в том, что просто обновить пакет grub недостаточно. Дистрибутивам нужно перевыпустить и переподписать кучу артефактов инсталляторы загрузчики пакеты с ядром прошивки fwupd и shim-прослойку.

▪️CVE-2025-61661: Баг в обработке строк с USB-устройств. GRUB выделял буфер на основе первого сообщения от устройства, а потом при преобразовании кодировки использовал данные из последующих. Подсунув специальное USB-устройство, можно было выйти за границы буфера.

▪️ CVE-2025-61663, -61664, -54770, -61662: Целая пачка use-after-free в командах normal, net_set_vlan и gettext. Проблема в том, что обработчики команд не очищались при выгрузке модулей. Если выполнить такую команду после выгрузки модуля, то можно получить доступ к уже освобожденной памяти. Похожие баги нашли и в тестовых командах, но им CVE не дали.

▪️ CVE-2025-54771: Ошибка в подсчете ссылок на файловые структуры в grub_file_close(), что снова приводит к use-after-free.

Ситуация особенно опасна из-за роли GRUB2 в процессе безопасной загрузки. Большинство дистрибутивов используют прослойку shim, подписанную Microsoft, которая проверяет подпись самого загрузчика. Уязвимости GRUB2 позволяют злоумышленнику вклиниться в процесс после успешной проверки подписи, но до загрузки ядра. Результатом становится полный контроль над загрузкой, что позволяет подменить операционную систему или модифицировать ее компоненты.

Для блокирования уязвимостей без отзыва корневых сертификатов дистрибутивы могут использовать механизм SBAT. Этот подход предполагает добавление в исполняемые файлы метаданных о версии компонента. Он позволяет заблокировать уязвимые версии загрузчика путем выпуска новых подписей без необходимости обновлять гигантские списки отозванных сертификатов.

Админам стоит ожидать периода активных обновлений. Пока исправления не будут полностью развернуты, остается надеяться, что злоумышленники не воспользуются уязвимостями на критически важных системах 🤷‍♂️

Linux / Линукс 🥸

👩‍💻 Разработка модулей ядра: разберите Linux до винтика и соберите заново

Ядро Linux — это сердце большинства серверов, смартфонов, облаков и IoT-устройств. Но понимать, как оно устроено изнутри, умеют единицы.

Курс «Разработка ядра Linux» от OTUS — для тех, кто хочет стать частью этого элитного круга. Вы разберётесь, как устроена архитектура ядра, научитесь писать и отлаживать модули, работать с памятью, потоками и прерываниями.

🔥 Пройти короткое вступительное тестирование и оставить заявку на курс: https://otus.ru/lessons/linux-kernel

Старт 27 ноября! Промокод на скидку: Linux_Kernel5 действует до 07.12

После курса вы сможете:
- создавать собственные модули
- оптимизировать систему
- взаимодействовать с аппаратным обеспечением
- понимать, как работает Linux под капотом

❕ Эти знания открывают двери в системное программирование, DevOps, embedded и security.

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

Производители ноутбуков HP и Dell стали искусственно ограничивать функциональность своих устройств

В нескольких современных моделях они намеренно отключают аппаратное декодирование видеокодека HEVC H.265, хотя установленные процессоры AMD и Intel полностью поддерживают эту возможность на уровне железа.

HP прямо указывает на отключение аппаратного ускорения HEVC в спецификациях некоторых линеек ProBook и EliteBook. А вот у Dell ситуация менее прозрачная, так как официальные спецификации не содержат явных предупреждений, но служба поддержки компании подтвердила, что HEVC недоступен на базовых конфигурациях без дискретной графики, 4K-экрана или специального пакета мультимедийных лицензий.

Ни одна из компаний не стала объяснять причины такого решения. Можно лишь предположить, что всему виной лицензионные расходы. С января 2025 года увеличиваются лицензионные отчисления за каждое устройство с поддержкой HEVC, и простое отключение функции позволяет производителям формально избежать дополнительных платежей.

В итоге пользователи получают устройства, где часть возможностей процессора искусственно заблокирована. Для работы с HEVC представители HP и Dell предложили клиентам использовать сторонние программные реализации кодека. HEVC давно стал стандартом для видеоконференций, потокового видео и работы с мультимедиа, а программное декодирование сильнее нагружает процессор и быстрее сажает батарею, так что сейчас это вызвало волну критики от пользователей. Вы платите за современный процессор, но не можете использовать все его функции, потому что производитель решил сэкономить 😐

Linux / Линукс 🥸

🟦 40 лет синего экрана смерти: сегодня Windows отмечает юбилей 🎂

Ровно 40 лет назад, 20 ноября 1985 года, Билл Гейтс выкатил в релиз самую первую Windows 1.0. Тогда это стоило 99 баксов и позиционировалось не как полноценная ОС, а как графическая надстройка над MS-DOS, которой для работы требовалось 256 КБ оперативной памяти и мышь (которую в то время считали бесполезной игрушкой). Именно тогда появились те самые окна, скроллбары и иконки, с которыми мы живем уже четыре десятилетия.

За эти годы мы прошли долгий путь от восторга по Windows 95 и божественной XP до ненависти к Vista и Windows 8. Мы пережили эпоху, когда ОС помещалась на дискеты, и дожили до времен, когда свежий образ системы не влезает на флешку, а калькулятор открывается дольше, чем весь Excel в девяностых. Но есть вещи, которые остаются неизменными... это старый добрый BSOD, который за 40 лет стал роднее, чем обои на рабочем столе 👴

Удивительно, но в современной Windows 11 до сих пор можно найти куски кода и диалоговые окна, которые тянутся еще с тех времен. Microsoft десятилетиями пытается перерисовать интерфейс, но стоит копнуть чуть глубже красивых менюшек в настройках, и ты упираешься в control.exe и Win32 API, которые помнят еще молодого Балмера, скачущего по сцене с криками Developers! Developers!

Так что сегодня есть отличный повод поднять бокал чая за аптайм (которого нет) и перезагрузить сервер в честь праздника. В конце концов, несмотря на все наши шутки, боль от кривых апдейтов и принудительную телеметрию, эта система кормит целое поколение админов. С др, Окна! И пожалуйста, не обновляйся сегодня принудительно 🐸

🎉 — С ДР!

🥸 godnoTECH - Новости IT

Только вот он - причина трудных минут 😁

Linux / Линукс 🥸

Вышел инсталлятор Agama 18 — сердце будущих версий SUSE и openSUSE

Разработчики openSUSE представили новую версию установщика, который полностью отделяет пользовательский интерфейс от внутренних компонентов YaST. По сути, это смерть классического установщика — в SUSE Linux Enterprise Server 16 и openSUSE Leap 16 его уже заменили на Agama. Теперь установку можно запускать через веб-интерфейс, а код написан на смеси Ruby, Rust и JavaScript. Для тестирования уже готовы live-сборки под все основные архитектуры, включая s390x для мейнфреймов.

Разработчики устали от ограничений старого графического интерфейса и хотят, чтобы сообщество создавало свои фронтенды. В основе всё те же проверенные библиотеки YaST, но обёрнутые в современные HTTP-сервисы. Интерфейс не зависает при установке благодаря многопроцессной архитектуре.

Установщик показывается в браузере, который запускается в минималистичном Wayland-окружении на базе Mutter и Firefox.

В новой версии:

— Переделана страница конфигурирования накопителей. Разработчики попытались совместить в одном интерфейсе понятность для новичков с возможностью доступа опытных пользователей к расширенным настройкам.
— Улучшен интерфейс для настройки устройств хранения DASD (Direct Access Storage Device), применяемых на мейнфреймах System/390.
— Расширены возможности управления конфигурацией в формате JSON. Добавлена поддержка локальной проверки JSON-профиля без запуска инсталлятора. Реализованы средства для управления из профиля ответами на вопросы инсталлятора. Предоставлена возможность удаления отдельных шаблонов установки, в дополнение к замене всего списка.
— Добавлена возможность обновления версии инсталлятора из внешнего репозитория перед началом процесса установки.
— Добавлены опции для установки ранних альфа-версий SUSE Linux 16.1. В дальнейшем планируют добавить поддержку тестовых версий openSUSE 16.1 и атомарной редакции openSUSE Kalpa.
— Официально прекращена поддержка архитектуры i586.

Linux / Линукс 🥸

KDE стал плавнее и умнее

В разработке KDE Plasma 6.6 достигнуты значительные улучшения плавности анимации на мониторах с частотой выше 60 Гц. Проведена оптимизация композитора KWin, уменьшающая лишние вычисления.

Появилась возможность помечать окна как исключаемые из скринкастов — полезно для скрытия конфиденциальных данных. Также улучшены диалоги удалённого доступа и переработаны эффекты размытия.

Linux / Линукс 🥸

Уязвимость в libpng приводит к переполнению буфера при обработке PNG-изображений

В корректирующем выпуске библиотеки libpng 1.6.51, применяемой в качестве прямой зависимости у около 600 пакетов в Ubuntu, устранены 4 уязвимости, одна из которых (CVE-2025-65018) приводит к записи за границу буфера. Потенциально данная уязвимость позволяет добиться выполнения своего кода при обработке специально оформленных файлов в формате PNG.

Проблема затрагивает приложения, использующий упрощённый API (png_image_finish_read), и вызвана ошибкой в функции png_combine_row(). Уязвимость проявляется при использовании 8-битного RGBA-формата вывода (PNG_FORMAT_RGBA) для изображений с 16-битным представлением цвета на канал и чересстрочным кодированием (interlaced). Переполнение возникает из-за попытки записи данных с 16-битным представлением цвета в буфер, размер которого был вычислен из расчёта использования 8-бит на цветовой канал.

Вызвавший проблему код был добавлен в январе 2016 года в коммите "Simplified API: write-to-memory, overflow handling", в котором исправляли проблемы с переполнениями при обработке изображений. Все это время проблема оставалась незамеченной.

Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, SUSE, RHEL, Arch, Fedora, FreeBSD.

Linux / Линукс 🥸

Может быть, у меня слишком много свободного времени...

1. Установите пакет sl, затем введите sl в терминале, чтобы вызвать локомотив.

2. Чтобы создать железнодорожную армаду, автор разделил терминал Kitty на 25 окон и набрал while true; do sl; done

3. В каждом из окон запустить с небольшой задержкой, чтобы поезд, выезжая из окна, въезжал в следующее :)

Linux / Линукс 🥸

X11 или Wayland?

Linux / Линукс 🥸

😱 РКН начал массовую охоту на протокол XRay/VLESS

С вечера пятницы профильные чаты кипят от сообщений... в ряде регионов России провайдеры начали успешно детектировать и рубить соединения по протоколу XRay (VLESS). Под раздачу попала связка xtls-rprx-vision и механизм Reality, который до этого считался топовыи стандартом маскировки под обычный HTTPS-трафик.

Симптомы у всех похожие, соединение либо не устанавливается вовсе, либо рвется через пару минут после начала передачи данных. При этом маскировочный сайт-заглушка (на который якобы идет трафик) открывается без проблем, что подтверждает факт того, что ТСПУ научились вычленять специфические паттерны VLESS в потоке TLS. Особенно лютуют мобильные операторы (Мегафон, МТС, Tele2), где, судя по всему, тестируют самые агрессивные настройки DPI. Некоторые пользователи сообщают, что блокировка идет не точечно, а ковровым методом, т.е. через внедрение неких списков, когда по умолчанию дропается всё, что не похоже на ВК или Госуслуги, но эта теория пока спорная, т.к. некоторые могут додумывать и не объективно натягивать на глобус... но таков срез по чатам.

Те, кто сидит на сильно модифицированном ВГ с обфускацией, превращающей заголовки в мусор, чувствует себя прекрасно и блокировкам не подвержен. Пока... 😭

Разработчики ядра XRay уже в курсе проблемы и готовят фикс. Энтузиасты в это время перебирают конфиги... кто-то советует переезжать на xhttp, кто-то утверждает, что проблема в паленых SNI (когда маскируются под google.com или microsoft.com, а IP сервера ведет в дешевый дата-центр в Нидерландах), и рекомендуют использовать self-steal с реальными личными доменами.

Остается ждать патчей или расчехлять старые добрые методы туннелирования через SSH, пока и их не признали нетипичным трафиком ⌨️ Нужно понимать, что для многих это возможность работать. Без свободного доступа к глобальным репозиториям и базам знаний современный IT-сектор существовать не может.

Типичный 🤙 Сисадмин

Google может вернуть поддержку JPEG-XL в Chrome

Технический руководитель разработки Chrome заявил о готовности вернуть в браузер поддержку современного формата JPEG-XL. Ключевым условием называется готовность к долгосрочному сопровождению кода.

Решение связано с изменившейся ситуацией: формат уже поддерживается в Safari, планируется в Firefox и добавлен в спецификацию PDF. Предложенная реализация в Chromium обновлена и поддерживает анимацию.

Linux / Линукс 🥸