У компоненті Linux, що відповідає за Secure Boot, виявили вразливість CVE-2023-40547.
Експлойт знаходиться в частині компонента Shim, яка обробляє завантаження з центрального сервера через HTTP. Зловмисники можуть використати вразливість для того, щоб отримати контроль над системою та обійти всі штатні засоби захисту, включно з механізмом Lockdown.
Дистриб'юторам Linux уже надали патч для усунення проблеми, але ситуацію ускладнюють обмеження за розміром DBX. Щоб запобігти можливій компрометації, вразливі версії потрібно буде віддалено відкликати. Але якщо це зробити до оновлення Shim, пристрої користувачів тимчасово перестануть працювати.
Нам залишається тільки здогадуватися про подальші дії розробників. Сертифіковані версії хоч і оновлюються з офіційних репозиторіїв, але це не дає можливість повноцінно виправити проблему. Становище може поліпшити аналог модуля Shim, що відповідає рівню довіри сертифікованої версії OC.
#Новини
@linux_ukraine
Експлойт знаходиться в частині компонента Shim, яка обробляє завантаження з центрального сервера через HTTP. Зловмисники можуть використати вразливість для того, щоб отримати контроль над системою та обійти всі штатні засоби захисту, включно з механізмом Lockdown.
Дистриб'юторам Linux уже надали патч для усунення проблеми, але ситуацію ускладнюють обмеження за розміром DBX. Щоб запобігти можливій компрометації, вразливі версії потрібно буде віддалено відкликати. Але якщо це зробити до оновлення Shim, пристрої користувачів тимчасово перестануть працювати.
Нам залишається тільки здогадуватися про подальші дії розробників. Сертифіковані версії хоч і оновлюються з офіційних репозиторіїв, але це не дає можливість повноцінно виправити проблему. Становище може поліпшити аналог модуля Shim, що відповідає рівню довіри сертифікованої версії OC.
#Новини
@linux_ukraine
😨2🤯1😱1
This media is not supported in your browser
VIEW IN TELEGRAM
Блогер зламав шифрування BitLocker Microsoft менш ніж за хвилину
Дослідник безпеки та YouTube-блогер під ніком stacksmashing продемонстрував, як можна використати Raspberry Pi Pico для злому BitLocker і отримання доступу до зашифрованого пристрою менш ніж за хвилину, за умови, що у вас є фізичний доступ.
stacksmashing, використовував ноутбук Lenovo, зазначивши що й інше обладнання також буде вразливим.
Метод полягає в прослуховуванні сигналів між чипом TPM і процесором, за допомогою Raspberry Pi Pico, щоб отримати головний ключ для пристрою.
Microsoft визнає можливість таких атак, але описує їх як "цільові атаки з великою кількістю часу і такі, що вимагають складне апаратне або програмне забезпечення".
Але stacksmashing впорався за 43 секунди, а Raspberry Pi Pico обійшовся йому менш ніж 5 доларів.
Усі скрипти він залишив у вільному доступі.
#Новини
@linux_ukraine
Дослідник безпеки та YouTube-блогер під ніком stacksmashing продемонстрував, як можна використати Raspberry Pi Pico для злому BitLocker і отримання доступу до зашифрованого пристрою менш ніж за хвилину, за умови, що у вас є фізичний доступ.
stacksmashing, використовував ноутбук Lenovo, зазначивши що й інше обладнання також буде вразливим.
Метод полягає в прослуховуванні сигналів між чипом TPM і процесором, за допомогою Raspberry Pi Pico, щоб отримати головний ключ для пристрою.
Microsoft визнає можливість таких атак, але описує їх як "цільові атаки з великою кількістю часу і такі, що вимагають складне апаратне або програмне забезпечення".
Але stacksmashing впорався за 43 секунди, а Raspberry Pi Pico обійшовся йому менш ніж 5 доларів.
Усі скрипти він залишив у вільному доступі.
#Новини
@linux_ukraine
❤4👍1
Джон Болдуін від імені FreeBSD Core Team, опублікував попередження про припинення підтримки 32-розрядних платформ.
У гілці FreeBSD 15 планується припинити постачання платформ armv6, i386 та powerpc, а в гілці FreeBSD 16 припинити підтримку платформи armv7. Можливість складання 32-розрядних програм і використання режиму COMPAT_FREEBSD32 для запуску 32-розрядних виконуваних файлів в оточенні на базі 64-розрядного ядра збережеться як мінімум до кінця життєвого циклу гілки FreeBSD 16. Жодних планів щодо видалення можливості запуску 32-розрядних програм із 64-розрядних збірок ядра FreeBSD поки немає.
Як причини припинення підтримки 32-розрядних архітектур згадується зниження популярності 32-розрядних інсталяцій, зміщення ринку апаратного забезпечення в бік 64-розрядних систем, виведення з експлуатації 32-розрядного устаткування і брак у проекту ресурсів на супровід застарілих платформ.
#Новини
@linux_ukraine
У гілці FreeBSD 15 планується припинити постачання платформ armv6, i386 та powerpc, а в гілці FreeBSD 16 припинити підтримку платформи armv7. Можливість складання 32-розрядних програм і використання режиму COMPAT_FREEBSD32 для запуску 32-розрядних виконуваних файлів в оточенні на базі 64-розрядного ядра збережеться як мінімум до кінця життєвого циклу гілки FreeBSD 16. Жодних планів щодо видалення можливості запуску 32-розрядних програм із 64-розрядних збірок ядра FreeBSD поки немає.
Як причини припинення підтримки 32-розрядних архітектур згадується зниження популярності 32-розрядних інсталяцій, зміщення ринку апаратного забезпечення в бік 64-розрядних систем, виведення з експлуатації 32-розрядного устаткування і брак у проекту ресурсів на супровід застарілих платформ.
#Новини
@linux_ukraine
👍2👎2🤔1
У Chromium експериментують з автоматичними мікроплатежами для монетизації сайтів
Розробники повідомили про намір реалізувати в браузері підтримку технології Web Monetization, що дає змогу автоматично виконувати мікроплатежі власникам сайтів за перегляд їхнього вмісту.
За допомогою Web Monetization сайти можуть інформувати браузер про прийняття платежів у пасивному режимі, що не вимагає виведення запиту на проведення та підтвердження оплати.
Наприклад, сайти, що використовують Web Monetization, можуть відкривати доступ до всього платного контенту відразу після того, як користувач погодиться з умовами, не вимагаючи передоплати. Після того, як користувач перегляне, наприклад, платне відео, браузер автоматично запустить платіжну мікротранзакцію, не відволікаючи користувача.
Перший прототип Web Monetization розраховують додати до складу випуску Chromе 127, наміченого на 23 липня.
#Новини
@linux_ukraine
Розробники повідомили про намір реалізувати в браузері підтримку технології Web Monetization, що дає змогу автоматично виконувати мікроплатежі власникам сайтів за перегляд їхнього вмісту.
За допомогою Web Monetization сайти можуть інформувати браузер про прийняття платежів у пасивному режимі, що не вимагає виведення запиту на проведення та підтвердження оплати.
Наприклад, сайти, що використовують Web Monetization, можуть відкривати доступ до всього платного контенту відразу після того, як користувач погодиться з умовами, не вимагаючи передоплати. Після того, як користувач перегляне, наприклад, платне відео, браузер автоматично запустить платіжну мікротранзакцію, не відволікаючи користувача.
Перший прототип Web Monetization розраховують додати до складу випуску Chromе 127, наміченого на 23 липня.
#Новини
@linux_ukraine
🤔2☃1👀1
Дія стане open-source продуктом
Із відкритим кодом і документацією Мінцифри зможе швидко експортувати "Дію" в інші країни.
- написав Михайло Федоров.
Також він назвав перевагою те, що всі розробники світу зможуть проаналізувати особливості архітектури застосунку і вивчити принципи його роботи, щоб розробляти свої додаткові сервіси або мікросервіси, які підходитимуть до застосунку.
Варто зауважити, що розробники не матимуть доступу до реєстрів та особливостей шифрування, тому дані українців залишатимуться в безпеці.
#Новини
@linux_ukraine
Із відкритим кодом і документацією Мінцифри зможе швидко експортувати "Дію" в інші країни.
«Open-source продукти — це про прозорість, що також буде хорошим сигналом для наших партнерів. Топові світові продукти працюють на відкритому коді»,
- написав Михайло Федоров.
Також він назвав перевагою те, що всі розробники світу зможуть проаналізувати особливості архітектури застосунку і вивчити принципи його роботи, щоб розробляти свої додаткові сервіси або мікросервіси, які підходитимуть до застосунку.
Варто зауважити, що розробники не матимуть доступу до реєстрів та особливостей шифрування, тому дані українців залишатимуться в безпеці.
#Новини
@linux_ukraine
🎉3🤡2❤1😁1
Mozilla звільнить близько 60 співробітників і зосередить увагу на ШІ-технологіях у Firefox
З урахуванням того, що за публічними звітами в компанії Mozilla працює від 500 до 1000 осіб, звільнення торкнуться 5-10% персоналу.
З напрямків, на яких планується зосередити увагу, відзначається застосування AI-технологій у Firefox. Наприклад, інтеграція розробок нещодавно купленої компанії Fakespot. З метою оптимізації робочих процесів планується об'єднати разом команди, що займаються сервісом Pocket, підготовкою контенту і штучним інтелектом.
Серед продуктів, інвестиції в які буде скорочено, згадуються Mozilla VPN, сервіс анонімних email-адрес Firefox Relay, аналізатор витоків персональних даних Mozilla Monitor Plus та соціальна мережа Mozilla.social. Ці сервіси не будуть закриті, але кількість співробітників, які працюють над ними, буде зменшено.
Під повне закриття підпадає Mozilla Hubs, система 3D-чатів з елементами віртуальної реальності.
#Новини
@linux_ukraine
З урахуванням того, що за публічними звітами в компанії Mozilla працює від 500 до 1000 осіб, звільнення торкнуться 5-10% персоналу.
З напрямків, на яких планується зосередити увагу, відзначається застосування AI-технологій у Firefox. Наприклад, інтеграція розробок нещодавно купленої компанії Fakespot. З метою оптимізації робочих процесів планується об'єднати разом команди, що займаються сервісом Pocket, підготовкою контенту і штучним інтелектом.
Серед продуктів, інвестиції в які буде скорочено, згадуються Mozilla VPN, сервіс анонімних email-адрес Firefox Relay, аналізатор витоків персональних даних Mozilla Monitor Plus та соціальна мережа Mozilla.social. Ці сервіси не будуть закриті, але кількість співробітників, які працюють над ними, буде зменшено.
Під повне закриття підпадає Mozilla Hubs, система 3D-чатів з елементами віртуальної реальності.
#Новини
@linux_ukraine
👍2❤1🔥1🤮1
Покупці у США почали повертати гарнітури Vision Pro в магазини через дискомфорт, головний біль і втому очей
У середині лютого 2024 року перші покупці гарнітур Apple у США почали повертати свої нові Vision Pro у магазини через дискомфорт під час використання, головний біль та втому очей. Пристрої надійшли в продаж з 2 лютого за ціною від $3500.
Основні претензії покупців гарнітур, які вирішили їх повернути:
- Вага гаджета розподіляється не найоптимальнішим чином, перетягуючи вниз лицьову частину голови;
- Деякі фіксують невловиму затримку під час руху головою та відповідної зміни картинки, яка викликає у користувачів симптоми заколисування;
- Через деякий час з'являється різь в очах і зорове перенапруження;
- Виникає швидке загальне стомлення під час використання гарнітури, а також головні болі;
- Наявність накладок різної форми та регульованого наголов'я не дає змоги гаджету однаково добре сидіти на головах різних користувачів;
- Для продуктивної роботи Vision Pro не годиться без грамотної адаптації ПЗ та інтерфейсу;
Також багато хто повертає продукт Apple, так як спочатку не збиралися його купувати, а брали протестувати заради "хайпу".
#Новини
@linux_ukraine
У середині лютого 2024 року перші покупці гарнітур Apple у США почали повертати свої нові Vision Pro у магазини через дискомфорт під час використання, головний біль та втому очей. Пристрої надійшли в продаж з 2 лютого за ціною від $3500.
Основні претензії покупців гарнітур, які вирішили їх повернути:
- Вага гаджета розподіляється не найоптимальнішим чином, перетягуючи вниз лицьову частину голови;
- Деякі фіксують невловиму затримку під час руху головою та відповідної зміни картинки, яка викликає у користувачів симптоми заколисування;
- Через деякий час з'являється різь в очах і зорове перенапруження;
- Виникає швидке загальне стомлення під час використання гарнітури, а також головні болі;
- Наявність накладок різної форми та регульованого наголов'я не дає змоги гаджету однаково добре сидіти на головах різних користувачів;
- Для продуктивної роботи Vision Pro не годиться без грамотної адаптації ПЗ та інтерфейсу;
Також багато хто повертає продукт Apple, так як спочатку не збиралися його купувати, а брали протестувати заради "хайпу".
#Новини
@linux_ukraine
❤1🔥1😍1
Опубліковано мобільну платформу LineageOS 21 на основі Android 14
Гілка LineageOS 21 досягла паритету за функціональністю і стабільністю з гілкою 20, і визнана готовою для формування першого релізу.
Збірки підготовлені для 109 моделей пристроїв. LineageOS також можна запустити в емуляторі Android Emulator і в середовищі Android Studio.
Додатково, надано можливість збірки в режимі Android TV та Android Automotive.
Порівняно з LineageOS 20, окрім змін, специфічних для Android 14, запропоновано такі основні поліпшення:
- Здійснено перехід на гілку android-14 з репозиторію AOSP станом на лютий 2024 року. Браузерний рушій WebView синхронізовано з Chromium 120.0.6099.144.
- До складу включено новий застосунок Glimpse з інтерфейсом для управління галереєю фотографій, який за замовчуванням задіяно замість застосунку Gallery2 зі складу AOSP.
- Змінено оформлення калькулятора, яке перероблено відповідно до концепції Material You та уніфіковано з рештою додатків.
- У web-браузері Jelly перероблено та стилізовано з використанням концепції оформлення Material You інтерфейс користувача. Додано підтримку пошукової системи та пошукового провайдера Brave. Додано можливість вибіркового надання доступу до даних про місцезнаходження для окремих сайтів.
#Новини
@linux_ukraine
Гілка LineageOS 21 досягла паритету за функціональністю і стабільністю з гілкою 20, і визнана готовою для формування першого релізу.
Збірки підготовлені для 109 моделей пристроїв. LineageOS також можна запустити в емуляторі Android Emulator і в середовищі Android Studio.
Додатково, надано можливість збірки в режимі Android TV та Android Automotive.
Порівняно з LineageOS 20, окрім змін, специфічних для Android 14, запропоновано такі основні поліпшення:
- Здійснено перехід на гілку android-14 з репозиторію AOSP станом на лютий 2024 року. Браузерний рушій WebView синхронізовано з Chromium 120.0.6099.144.
- До складу включено новий застосунок Glimpse з інтерфейсом для управління галереєю фотографій, який за замовчуванням задіяно замість застосунку Gallery2 зі складу AOSP.
- Змінено оформлення калькулятора, яке перероблено відповідно до концепції Material You та уніфіковано з рештою додатків.
- У web-браузері Jelly перероблено та стилізовано з використанням концепції оформлення Material You інтерфейс користувача. Додано підтримку пошукової системи та пошукового провайдера Brave. Додано можливість вибіркового надання доступу до даних про місцезнаходження для окремих сайтів.
#Новини
@linux_ukraine
🔥3❤1👍1
На стару ігрову приставку NES змогли встановити LUnix
На старій ігровій приставці NES вдалося запустити операційну систему LUnix, незважаючи на її обмежені ресурси. Розробнику DeCrAzYo довелося подолати складнощі з огляду на те, що NES має всього 2 КБ оперативної пам'яті.
Він обрав LUnix через його сумісність з апаратними характеристиками NES.
Систему було встановлено на картридж EverDrive-N8, і вихідний код NES-LUnix доступний на GitHub.
#Новини
@linux_ukraine
На старій ігровій приставці NES вдалося запустити операційну систему LUnix, незважаючи на її обмежені ресурси. Розробнику DeCrAzYo довелося подолати складнощі з огляду на те, що NES має всього 2 КБ оперативної пам'яті.
Він обрав LUnix через його сумісність з апаратними характеристиками NES.
Систему було встановлено на картридж EverDrive-N8, і вихідний код NES-LUnix доступний на GitHub.
#Новини
@linux_ukraine
На iOS поширюється перший у своєму роді троян, здатний красти біометричні дані користувачів
Вірус GoldPixaxe зафіксовано у Таїланді та В'єтнамі, де він атакував користувачів iOS, маскуючись під додатки для надання державних послуг.
Зловмисники вимагають від користувачів сфотографувати свої посвідчення особи та пройти сканування обличчя.
Існує аналог GoldPixaxe і для Android. Троян не поширюється через офіційні магазини додатків і не експлуатує уразливості в операційних системах.
Натомість зловмисники використовують обман, щоб переконати жертву встановити шкідливий додаток і надати необхідні права доступу.
#Новини
@linux_ukraine
Вірус GoldPixaxe зафіксовано у Таїланді та В'єтнамі, де він атакував користувачів iOS, маскуючись під додатки для надання державних послуг.
Зловмисники вимагають від користувачів сфотографувати свої посвідчення особи та пройти сканування обличчя.
Існує аналог GoldPixaxe і для Android. Троян не поширюється через офіційні магазини додатків і не експлуатує уразливості в операційних системах.
Натомість зловмисники використовують обман, щоб переконати жертву встановити шкідливий додаток і надати необхідні права доступу.
#Новини
@linux_ukraine
Проект openSUSE розкрив плани з розвитку нового інсталятора Agama
Agama розробляється для заміни класичного інтерфейсу встановлення SUSE і openSUSE. Він примітний відділенням користувацького інтерфейсу від внутрішніх компонентів YaST. Agama надає можливість використання різних фронтендів, наприклад, фронтенда для управління встановленням через web-інтерфейс.
На цей рік заплановано два значних оновлення Agama. Липневе оновлення буде націлене на підвищення гнучкості та функціональності, пов'язаної з установкою в автоматичному режимі. Метою розробки є доведення Agama до можливості використання як альтернативи інструментарію AutoYaST.
Квітневе оновлення примітне припиненням використання готових модулів, які розвиває проєкт Cockpit, на користь використання незалежнішого фреймворка і модернізованого інтерфейсу користувача.
#Новини
@linux_ukraine
Agama розробляється для заміни класичного інтерфейсу встановлення SUSE і openSUSE. Він примітний відділенням користувацького інтерфейсу від внутрішніх компонентів YaST. Agama надає можливість використання різних фронтендів, наприклад, фронтенда для управління встановленням через web-інтерфейс.
На цей рік заплановано два значних оновлення Agama. Липневе оновлення буде націлене на підвищення гнучкості та функціональності, пов'язаної з установкою в автоматичному режимі. Метою розробки є доведення Agama до можливості використання як альтернативи інструментарію AutoYaST.
Квітневе оновлення примітне припиненням використання готових модулів, які розвиває проєкт Cockpit, на користь використання незалежнішого фреймворка і модернізованого інтерфейсу користувача.
#Новини
@linux_ukraine
❤1👍1🤔1
Якщо відмовитися від оновлень у Windows 11, то вона видалить дані користувача
У новій збірці Windows 11 (26052) з'явилася недокументована функція видалення інформації з пам'яті комп'ютера під час відкату на попередню версію ОС. Якщо поставити це оновлення, а потім відмовитися від нього, можна позбутися важливих документів. Microsoft проблему визнала.
На щастя, обнова доступна тільки для учасників програми бета-тестування Windows Insider.
#Новини
@linux_ukraine
У новій збірці Windows 11 (26052) з'явилася недокументована функція видалення інформації з пам'яті комп'ютера під час відкату на попередню версію ОС. Якщо поставити це оновлення, а потім відмовитися від нього, можна позбутися важливих документів. Microsoft проблему визнала.
На щастя, обнова доступна тільки для учасників програми бета-тестування Windows Insider.
#Новини
@linux_ukraine
🥰2🤨1
mkdocs-material - чудовий фреймворк для написання документації в Markdown та створення професійного статичного сайта для вашого Open Source або комерційного проекту за лічені хвилини з можливістю: пошуку, налаштування, підтримка понад 60 мов (українська мова присутня) та адаптація до всіх пристроїв.
Демо-версі: https://squidfunk.github.io/mkdocs-material/
#Цікаво
@linux_ukraine
Демо-версі: https://squidfunk.github.io/mkdocs-material/
#Цікаво
@linux_ukraine
Усе написане на Reddit буде використано ШІ
Reddit Inc. підписала контракт, що дозволяє компанії навчати свої моделі штучного інтелекту на основі контенту платформи, але не розголошує компанію-підрядника для навчання ШІ.
Вартість угоди становить близько 60 мільйонів доларів у річному обчисленні.
Угода Reddit може стати моделлю для майбутніх контрактів аналогічного характеру.
#Новини
@linux_ukraine
Reddit Inc. підписала контракт, що дозволяє компанії навчати свої моделі штучного інтелекту на основі контенту платформи, але не розголошує компанію-підрядника для навчання ШІ.
Вартість угоди становить близько 60 мільйонів доларів у річному обчисленні.
Угода Reddit може стати моделлю для майбутніх контрактів аналогічного характеру.
#Новини
@linux_ukraine
🥰2❤1👍1🤮1
🇺🇦 Комора Лінуксоїда | Linux
Блогер зламав шифрування BitLocker Microsoft менш ніж за хвилину Дослідник безпеки та YouTube-блогер під ніком stacksmashing продемонстрував, як можна використати Raspberry Pi Pico для злому BitLocker і отримання доступу до зашифрованого пристрою менш ніж…
Швидкість SSD у Windows 11 сповільнюється на 45% через роботу Bitlocker
Вбудоване шифрування жорсткого диска Bitlocker існує для "захисту" пристроїв шляхом автоматичного шифрування жорстких дисків. Як показали детальні тести, це відбувається за рахунок швидкості SSD.
На комп'ютерах зі встановленою Windows 11 Pro існує висока ймовірність автоматичної активації Bitlocker. Це може коштувати продуктивності SSD до 45% від швидкості читання і запису.
Величезне уповільнення особливо негативно позначається на завданнях з інтенсивним використанням даних, як копіювання великих файлів або запуск додатків.
#Новини
@linux_ukraine
Вбудоване шифрування жорсткого диска Bitlocker існує для "захисту" пристроїв шляхом автоматичного шифрування жорстких дисків. Як показали детальні тести, це відбувається за рахунок швидкості SSD.
На комп'ютерах зі встановленою Windows 11 Pro існує висока ймовірність автоматичної активації Bitlocker. Це може коштувати продуктивності SSD до 45% від швидкості читання і запису.
Величезне уповільнення особливо негативно позначається на завданнях з інтенсивним використанням даних, як копіювання великих файлів або запуск додатків.
#Новини
@linux_ukraine