Никогда не оказывайте услуг, о которых не просят

Холмс после экспериментов с опием любил выкурить пару трубок.... ...

Google, Microsoft, Twitter и Facebook основали проект по обеспечению переносимости данных
Fri, 20 Jul 2018 20:44:55 +0300

Началось формирование ASan-сборок Firefox для выявления проблем при работе с памятью
Fri, 20 Jul 2018 09:23:16 +0300

В Google ведётся обсуждение возможной замены Android на ОС Fuchsia
Thu, 19 Jul 2018 23:45:05 +0300

В ночные сборки Firefox добавлен WebRender, использующий GPU для отрисовки web-страниц
Thu, 19 Jul 2018 20:50:32 +0300

Евросоюз оштрафовал Google на 4.3 млрд евро за навязывание своих сервисов в Android
Wed, 18 Jul 2018 20:47:49 +0300

В компилятор LDC языка D добавлена поддержка WebAssembly
Wed, 18 Jul 2018 10:36:25 +0300

Slackware Linux исполнилось 25 лет
Tue, 17 Jul 2018 08:16:55 +0300

Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI
Mon, 16 Jul 2018 22:05:36 +0300

Оценка безопасности новой системы контейнерной изоляции Nabla
Mon, 16 Jul 2018 10:58:41 +0300

Гвидо ван Россум решил отстраниться от руководства проектом Python
Thu, 12 Jul 2018 20:23:38 +0300

Debian вошёл в консультативный cовет проекта KDE
Thu, 12 Jul 2018 12:43:41 +0300

Для Thunderbird и SeaMonkey введён в строй отдельный каталог дополнений
Tue, 10 Jul 2018 22:22:36 +0300

Airbus и IBM подготовили интеллектуальный помощник для МКС, работающий под управлением Ubuntu
Tue, 10 Jul 2018 11:33:35 +0300

Концепт камеры для печати фотографии в виде комиксов
Mon, 09 Jul 2018 09:58:50 +0300

DirectX Shader Compiler портирован для Linux и macOS
Tue, 03 Jul 2018 20:58:59 +0300

Новости OPENNET
Новости

Штефан Шперлинг (Stefan Sperling), мейнтейнер стека протоколов 802.11 в OpenBSD, опубликовал, с разрешения всех вовлечённых лиц, частную переписку с Мэти Ванхофом (Mathy Vanhoef), непосредственно касающуюся скандала с анонсом уязвимости KRACK, выявленной Ванхофом в прошлом году. Из переписки следует, что проект OpenBSD в лице Штефана получил явное разрешение на коммит в «тихом» виде, т.е. без привлечения внимания до официального разглашения информации. Несмотря на приложенные усилия коммит всё же привлёк повышенное внимание специалистов по безопасности, в результате чего эмбарго было снято досрочно, а проект OpenBSD был обвинён в его, эмбарго, нарушении.

Причиной публикации послужил систематический отказ (как минимум) корпорации Intel сотрудничать с проектом OpenBSD в плане досрочного раскрытия сведений об уязвимостях с целью защиты пользователей. Вследствие этого пользователи OpenBSD уже оказывались менее защищёнными (по сравнению с пользователями большинства других операционных систем) в начале этого года, когда были анонсированы уязвимости Meltdown и Spectre.

В то же время не далее чем позавчера Intel пришлось досрочно анонсировать уязвимость в механизме сохранения/восстановления состояния FPU из-за того, что разработчики OpenBSD смогли исключительно на основе слухов исправить ещё не анонсированную уязвимость. Филипп Гюнтер (Philip Guenther) на основании слухов подготовил и добавил в OpenBSD патч, который, как выяснилось позднее, действительно исправлял уязвимость.

Изначально Intel планировал опубликовать сведения об уязвимости в августе, но поводом к досрочному раскрытию информации стал доклад Тео де Раадта на конференции BSDCan 2018 (видео), в рамках которого были представлены свежие доработки ядра OpenBSD. Так как проект OpenBSD не был официально проинформирован об уязвимости, он не подпадал под эмбарго на разглашение. После доклада Колин Персиваль (Colin Percival), базируясь на озвученной информации, за пять часов написал рабочий прототип эксплоита.

От сложившейся ситуации, когда эмбарго Intel перестают строго соблюдать из-за очевидных симпатий по отношению к проекту OpenBSD со стороны задействованных лиц, не выигрывает никто: по слухам, в течение ближайших двух месяцев планируются ещё анонсы уязвимостей от Intel, и отсутствие координации между OpenBSD и вендором может ударить по пользователям тех операционных систем, которые ещё не успели хотя бы подготовить патчи.

Стоит отметить, что действия корпорации Microsoft, которая параллельно с OpenBSD также досрочно выпустила патч для исправления уязвимости KRACK, не послужили причиной для аналогичных санкций со стороны Intel, как и со стороны других вендоров.

Дополнение: Тео де Раадт (Theo de Raadt) публично предупредил о наличии серьёзной уязвимости в реализации HyperThreading, рекомендуется отключить эту опцию для любых компьютеров, где может выполняться недоверенный код (например, выполнение JavaScript-кода в браузере и системы хостинга).

63.4888 73.9327 0.5645 9.3656

НОВОСТИ: Началось формирование ASan-сборок Firefox для выявления проблем ... Fri, 20 Jul 2018 09:23:16 +0300

В рамках проекта ASan Nightly разработчики Mozilla начали публикацию ежедневно обновляемых сборок Firefox, собранных с AddressSanitizer для выявления проблем в процессе работы с памятью, в том числе вызванных обращением к областям памяти после их освобождения (use-after-free) и различными вариантами переполнения буферов и стека.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome