Закон Миллера

Нельзя ничего сказать о глубине лужи, пока не попадешь в нее.

Дед мороз пролетая над бедными африканскими странами видит голодных негретят, ...

В Firefox 67 будет изменён интерфейс about:config и интегрировано дополнение Firefox Monitor
Mon, 18 Feb 2019 07:47:39 +0300

В Chrome появится поддержка ссылок на отдельные слова и фразы в тексте
Sat, 16 Feb 2019 10:48:24 +0300

Развитие Fedora Atomic Host прекращено в пользу проекта Fedora CoreOS
Sat, 16 Feb 2019 09:59:34 +0300

Представлен новый интерфейс браузера Opera
Fri, 15 Feb 2019 07:53:42 +0300

Обновление пакета с ядром для Ubuntu привело к проблемам с загрузкой на некоторых ноутбуках
Mon, 11 Feb 2019 08:25:02 +0300

Google представил механизм Adiantum для быстрого шифрования накопителей
Sun, 10 Feb 2019 22:52:09 +0300

FreedomEV - открытая надстройка для информационной системы автомобилей Tesla
Sat, 09 Feb 2019 23:25:16 +0300

В SUSE/openSUSE будет отключено автоопределение нетипичных файловых систем
Sat, 09 Feb 2019 09:45:28 +0300

Проект GTK+ объявил о переименовании в GTK
Fri, 08 Feb 2019 19:31:46 +0300

Фонд свободного ПО сертифицировал материнскую плату и ПК Vikings D8
Fri, 08 Feb 2019 08:59:57 +0300

В открытую платформу обмена сообщениями Mattermost инвестировано 20 млн долларов
Thu, 07 Feb 2019 09:47:47 +0300

Для Firefox развивается режим строгой изоляции страниц
Thu, 07 Feb 2019 09:09:44 +0300

Для Chrome реализован режим экономии ресурсов
Wed, 06 Feb 2019 12:40:48 +0300

Google опубликовал браузерное дополнение для оценки компрометации паролей
Wed, 06 Feb 2019 12:40:16 +0300

Для Fedora утверждён метод подсчёта пользователей, не использующий UUID
Wed, 06 Feb 2019 09:24:03 +0300

Новости OPENNET
Новости

Штефан Шперлинг (Stefan Sperling), мейнтейнер стека протоколов 802.11 в OpenBSD, опубликовал, с разрешения всех вовлечённых лиц, частную переписку с Мэти Ванхофом (Mathy Vanhoef), непосредственно касающуюся скандала с анонсом уязвимости KRACK, выявленной Ванхофом в прошлом году. Из переписки следует, что проект OpenBSD в лице Штефана получил явное разрешение на коммит в «тихом» виде, т.е. без привлечения внимания до официального разглашения информации. Несмотря на приложенные усилия коммит всё же привлёк повышенное внимание специалистов по безопасности, в результате чего эмбарго было снято досрочно, а проект OpenBSD был обвинён в его, эмбарго, нарушении.

Причиной публикации послужил систематический отказ (как минимум) корпорации Intel сотрудничать с проектом OpenBSD в плане досрочного раскрытия сведений об уязвимостях с целью защиты пользователей. Вследствие этого пользователи OpenBSD уже оказывались менее защищёнными (по сравнению с пользователями большинства других операционных систем) в начале этого года, когда были анонсированы уязвимости Meltdown и Spectre.

В то же время не далее чем позавчера Intel пришлось досрочно анонсировать уязвимость в механизме сохранения/восстановления состояния FPU из-за того, что разработчики OpenBSD смогли исключительно на основе слухов исправить ещё не анонсированную уязвимость. Филипп Гюнтер (Philip Guenther) на основании слухов подготовил и добавил в OpenBSD патч, который, как выяснилось позднее, действительно исправлял уязвимость.

Изначально Intel планировал опубликовать сведения об уязвимости в августе, но поводом к досрочному раскрытию информации стал доклад Тео де Раадта на конференции BSDCan 2018 (видео), в рамках которого были представлены свежие доработки ядра OpenBSD. Так как проект OpenBSD не был официально проинформирован об уязвимости, он не подпадал под эмбарго на разглашение. После доклада Колин Персиваль (Colin Percival), базируясь на озвученной информации, за пять часов написал рабочий прототип эксплоита.

От сложившейся ситуации, когда эмбарго Intel перестают строго соблюдать из-за очевидных симпатий по отношению к проекту OpenBSD со стороны задействованных лиц, не выигрывает никто: по слухам, в течение ближайших двух месяцев планируются ещё анонсы уязвимостей от Intel, и отсутствие координации между OpenBSD и вендором может ударить по пользователям тех операционных систем, которые ещё не успели хотя бы подготовить патчи.

Стоит отметить, что действия корпорации Microsoft, которая параллельно с OpenBSD также досрочно выпустила патч для исправления уязвимости KRACK, не послужили причиной для аналогичных санкций со стороны Intel, как и со стороны других вендоров.

Дополнение: Тео де Раадт (Theo de Raadt) публично предупредил о наличии серьёзной уязвимости в реализации HyperThreading, рекомендуется отключить эту опцию для любых компьютеров, где может выполняться недоверенный код (например, выполнение JavaScript-кода в браузере и системы хостинга).

66.7044 75.2492 0.6048 9.8386

НОВОСТИ: Опубликована техника скрытия вредоносного кода в анклавах Intel ... Tue, 12 Feb 2019 14:44:14 +0300

Группа исследователей из Грацского технического университета (Австрия), ранее известная разработкой техники атаки NetSpectre и метода эксплуатация уязвимости в DRAM-памяти через локальную сеть, продемонстрировала (PDF) метод скрытия вредоносного кода при помощи изолированных анклавов Intel SGX и организации контроля за основной системой из выполняемого в анклаве кода, в обход накладываемых анклавом ограничений.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome