Прошивка IVI-системы Hyundai оказалась заверена ключом из руководства по OpenSSL

Владелец автомобиля Hyundai Ioniq SEL опубликовал серию статей с рассказом, как ему удалось внести изменения в прошивку, используемую в информационно-развлекательной системе (IVI) на базе операционной системы D-Audio2V, применяемой в автомобилях Hyundai и Kia. Оказалось, что все необходимые для расшифровки и верификации данные публично доступны в сети и для их определения потребовалось лишь несколько запросов в Google.

https://www.opennet.ru/opennews/art.shtml?num=57648

GitHub опубликовал отчёт о блокировках за первую половину 2022 года

GitHub опубликовал отчёт, в котором отражены уведомления о нарушении интеллектуальной собственности и публикации незаконного содержимого, поступившие за первую половину 2022 года. Ранее подобные отчёты публиковались ежегодно, но теперь GitHub перешёл на раскрытие информации раз в полугодие. В соответствии с действующим в США Законом об авторском праве в цифровую эпоху (DMCA, Digital Millennium Copyright Act), в первой половине 2022 года GitHub получил 1200 требований о блокировке. От владельцев репозиториев поступило 20 опровержений на неправомерную блокировку.

https://www.opennet.ru/opennews/art.shtml?num=57646

Уязвимость в устройствах на базе SoC Realtek, позволяющая выполнить код через отправку UDP-пакета

Исследователи из компании Faraday Security представили на конференции DEFCON детали эксплуатации критической уязвимости (CVE-2022-27255) в SDK для чипов Realtek RTL819x, позволяющей выполнить свой код на устройстве через отправку специально оформленного UDP-пакета. Уязвимость примечательна тем, что позволяет атаковать устройства, в которых отключён доступ в web-интерфейс для внешних сетей - для атаки достаточно просто отправить один UDP-пакет.

https://www.opennet.ru/opennews/art.shtml?num=57645

Продемонстрирован взлом терминала Starlink

Исследователь из Лёвенского католического университета продемонстрировал на конференции Black Hat технику компрометации пользовательского терминала Starlink, использующего Linux и оснащённого собственным 64-разрядном SoC, созданным компанией STMicro специально для SpaceX. Предложенный метод позволяет выполнить свой код на терминале Starlink, получить root-доступ и доступ в недоступную пользователю через обычные порты внутреннюю сеть, использую терминалами, например, для обновления прошивок. Опубликованные наработки также могут быть использованы для продвинутых экспериментов в области программно определяемых радиосистем (SDR), в силу специфичной структуры терминала Starlink (массив фазированных антенн, управляемых программно).

https://www.opennet.ru/opennews/art.shtml?num=57635

AEPIC Leak - атака, приводящая к утечке ключей из анклавов Intel SGX

Раскрыты сведения о новой атаке на процессоры Intel - AEPIC Leak (CVE-2022-21233), приводящей к утечке конфиденциальных данных из изолированных анклавов Intel SGX (Software Guard eXtensions). Проблема затрагивает 10, 11 и 12 поколения CPU Intel (включая новые серии Ice Lake и Alder Lake) и вызвана архитектурной недоработкой, позволяющей получить доступ неинициализированным данным, оставшимся в регистрах APIC (Advanced Programmable Interrupt Controller) после выполнения прошлых операций.

https://www.opennet.ru/opennews/art.shtml?num=57623

В ядре Linux выявлены эксплуатируемые уязвимости в POSIX CPU timer, cls_route и nf_tables

В ядре Linux выявлено несколько уязвимостей, вызванных обращением к уже освобождённым областям памяти и позволяющих локальному пользователю повысить свои привилегии в системе. Для всех рассматриваемых проблем созданы рабочие прототипы эксплоитов, которые будут опубликованы через неделю после публикации информации об уявзимостях. Патчи с устранением проблем отправлены разработчикам ядра Linux.

https://www.opennet.ru/opennews/art.shtml?num=57622

Выпуск дистрибутива Ubuntu Sway Remix 22.04 LTS

Доступен выпуск дистрибутива Ubuntu Sway Remix 22.04 LTS, предоставляющего преднастроенный и готовый к использованию рабочий стол на основе мозаичного композитного менеджера Sway. Дистрибутив является неофициальной редакцией Ubuntu 22.04 LTS, созданной с оглядкой как на опытных пользователей GNU/Linux, так и новичков, желающих попробовать окружение мозаичных оконных менеджеров без необходимости в их долгой настройке. Для скачивания доступны сборки для amd64 и Raspberry Pi 3/4.

https://www.opennet.ru/opennews/art.shtml?num=57616

Выпуск дистрибутива Steam OS 3.3, используемого на игровой консоли Steam Deck

Компания Valve представила обновление операционной системы Steam OS 3.3, поставляемой в игровой консоли Steam Deck. Steam OS 3 основана на Arch Linux, использует для ускорения запуска игр композитный сервер Gamescope на базе протокола Wayland, поставляется с доступной только на чтение корневой ФС, применяет атомарный механизм установки обновлений, поддерживает пакеты Flatpak, использует мультимедийный сервер PipeWire и предоставляет два режима работы интерфейса (оболочка Steam и рабочий стол KDE Plasma). Обновления доступны только для Steam Deck, но энтузиастами развивается неофициальная сборка holoiso, адаптированная для установки на обычные компьютеры (в будущем сборки для ПК обещает подготовить и компания Valve).

https://www.opennet.ru/opennews/art.shtml?num=57592

Релиз дистрибутива Linux Mint 21

Представлен релиз дистрибутива Linux Mint 21, перешедший на пакетную базу Ubuntu 22.04 LTS. Дистрибутив полностью совместим с Ubuntu, но существенно отличается подходом к организации интерфейса пользователя и подбором используемых по умолчанию приложений. Разработчики Linux Mint предоставляют десктоп-окружение, соответствующее классическим канонам организации рабочего стола, которое является более привычным для пользователей, не принимающих новые методы построения интерфейса GNOME 3. Для загрузки доступны DVD-сборки на базе оболочек MATE 1.26 (2.1 ГБ), Cinnamon 5.4 (2.1 ГБ) и Xfce 4.16 (2 ГБ). Linux Mint 21 отнесён к выпускам с длительным сроком поддержи (LTS), обновления для которого будут формироваться до 2027 года.

https://www.opennet.ru/opennews/art.shtml?num=57578

Выпуск Ventoy 1.0.79, инструментария для загрузки произвольных систем с USB-носителей

Опубликован выпуск инструментария Ventoy 1.0.79, предназначенного для создания загрузочных USB-носителей, включающих несколько операционных систем. Программа примечательна тем, что обеспечивает возможность загрузки ОС из неизменных ISO, WIM, IMG, VHD и EFI-образов, не требуя распаковки образа или переформатирования носителя. Например, достаточно просто скопировать на USB Flash с загрузчиком Ventoy интересующий набор iso-образов и Ventoy обеспечит возможность загрузки находящихся внутри операционных систем. В любой момент можно заменить или добавить новые iso-образы просто скопировав новые файлы, что удобно для тестирования и предварительного ознакомления с различными дистрибутивами и операционными системами. Код проекта написан на языке Си и распространяется под лицензией GPLv3.

https://www.opennet.ru/opennews/art.shtml?num=57567

Опубликован инструментарий для дешифровки микрокода Intel

Группа исследователей безопасности из команды uCode опубликовала исходные тексты для дешифровки микрокода Intel. Для извлечения зашифрованного микрокода может использоваться техника Red Unlock, разработанная теми же исследователями в 2020 году. Предложенная возможность расшифровки микрокода позволяет исследовать внутреннюю структуру микрокода и методы реализаций машинных инструкций x86. Дополнительно, исследователями восстановлен формат обновлений с микрокодом, алгоритм шифрования и ключ, использованный для защиты микрокода (RC4).

https://www.opennet.ru/opennews/art.shtml?num=57524

Используемый в Xfce оконный менеджер xfwm4 портирован для работы с Wayland

В рамах проекта xfwm4-wayland независимым энтузиастом развивается вариант оконного менеджера xfwm4, адаптированный для использования протокола Wayland и переведённый на систему сборки Meson. Поддержка Wayland в xfwm4-wayland обеспечена через интеграцию с библиотекой wlroots, развиваемой разработчиками пользовательского окружения Sway и предоставляющей базовые функции для организации работы композитного менеджера на базе Wayland. Xfwm4 применяется в пользовательском окружении Xfce для отображения, декорирования и трансформации окон.

https://www.opennet.ru/opennews/art.shtml?num=57511

Исходные тексты операционной системы CP/M доступны для свободного использования

Энтузиасты ретро-систем урегулировали вопрос с лицензией на исходные тексты операционной системы CP/M, которая в семидесятые годы прошлого века доминировала на компьютерах с восьмибитными процессорами i8080 и Z80. В 2001 году код CP/M был передан сообществу cpm.z80.de компанией Lineo Inc, в которую перешла интеллектуальная собственность компании Digital Research, занимавшейся разработкой CP/M. Лицензия на переданный код допускала использование, распространение и изменение, но с пометкой, что данное право предоставляется сообществу, разработчикам и сопровождающим с сайта cpm.z80.de.

https://www.opennet.ru/opennews/art.shtml?num=57497

Выпуск графического тулкита wxWidgets 3.2.0

Спустя 9 лет с момента выхода ветки 3.0 представлен первый выпуск новой стабильной ветки кроссплатформенного тулкита wxWidgets 3.2.0, позволяющего создавать графические интерфейсы для Linux, Windows, macOS, UNIX и мобильных платформ. По сравнению с веткой 3.0 наблюдается ряд несовместимостей на уровне API. Тулкит написан на языке С++ и распространяется под свободной лицензией wxWindows Library License, одобренной Фондом СПО и организацией OSI. Лицензия основана на LGPL и отличается позволением использования собственных условий для распространения производных работ в бинарной форме.

https://www.opennet.ru/opennews/art.shtml?num=57470