Когда поддаешься страху перед ужасом, начинаешь ощущать ужас страха

Познакомился сисадмин с веб-дизайнершей, первым делом спросил, ...

Компания Alibaba присоединилась к инициативе по защите Linux от патентных претензий
Thu, 13 Dec 2018 22:41:04 +0300

В рамках проекта libcamera развивается стек для поддержки камер в Linux
Thu, 13 Dec 2018 14:12:10 +0300

Разработчики ядра Linux обсуждают вопрос удаления субархитектуры x32
Wed, 12 Dec 2018 22:41:30 +0300

Разработка распределённого хранилища etcd переведена в организацию CNCF
Wed, 12 Dec 2018 21:15:16 +0300

Аудит не выявил следов установки шпионских чипов в материнских платах Super Micro
Tue, 11 Dec 2018 22:07:09 +0300

Первая открытая реализация анклава для аппаратно изолированных окружений
Tue, 11 Dec 2018 13:47:41 +0300

Доля государственных фондов США в финансировании Tor снизилась с 85% до 51%
Tue, 11 Dec 2018 09:31:39 +0300

Голосование за поддержку Adobe Premiere в Linux
Mon, 10 Dec 2018 18:58:45 +0300

Microsoft официально объявил о переходе Edge на движок Chromium
Fri, 07 Dec 2018 12:11:50 +0300

Фонд СПО признал Hyperbola полностью свободным дистрибутивом
Fri, 07 Dec 2018 11:55:53 +0300

Mozilla подготовит версию Firefox, оптимизированную для архитектуры ARM64
Fri, 07 Dec 2018 09:44:39 +0300

Linux Foundation унифицирует инструментарий для проверки соблюдения открытых лицензий
Thu, 06 Dec 2018 14:15:47 +0300

Платформа Eclipse прекращает поддержку 32-разрядной архитектуры
Thu, 06 Dec 2018 10:55:16 +0300

Выпущен патч, решающий проблему с blq-mq в ядре Linux 4.19, которая приводит к потере данных
Wed, 05 Dec 2018 07:27:24 +0300

Microsoft открыл код WPF, Windows Forms и WinUI
Tue, 04 Dec 2018 21:34:15 +0300

Новости OPENNET
Новости

Исследователями безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей, продолжено выявление критических уязвимостей в Ghostscript, позволяющих обойти ограничения sandbox-изоляции, применяемой при запуске в режиме "-dSAFER". Выявленные уязвимости позволяют организовать выполнение в системе произвольного кода при обработке в Ghostscript специально оформленных документов. Исправления пока доступны только в виде патчей (1,

2,

3), в дистрибутивах пакеты с Ghostscript ещё не обновлены.

Первая уязвимость (CVE-2018-17961) вызвана неполным устранением ранее найденной уязвимости CVE-2018-17183 и позволяет через создание обработчика исключения организовать выполнение кода вне sandbox-окружения. Вторая уязвимость (CVE-2018-18073) позволяет организовать выполнение оператора ".forceput" через манипуляции с переданным в обработчик исключения доступом к исполняемому стеку.

Напомним, что уязвимости в Ghostscript представляют повышенную опасность, так как данный пакет используется во многих популярных приложениях для обработки форматов PostScript и PDF. Например, Ghostscript вызывается в процессе создания миниатюр на рабочем столе, при фоновой индексации данных и при преобразовании изображений. Для успешной атаки во многих случаях достаточно просто загрузить файл с эксплоитом или просмотреть каталог с ним в Nautilus. Уязвимости в Ghostscript также можно эксплуатировать через обработчики изображений на базе пакетов ImageMagick и GraphicsMagick, передав в них JPEG или PNG-файл, в котором вместо картинки находится код PostScript (такой файл будет обработан в Ghostscript, так как MIME-тип распознаётся по содержимому, а не полагаясь на расширение).

66.4337 75.3890 0.5849 9.632

НОВОСТИ: Доступен интерпретатор mruby 2.0 Wed, 12 Dec 2018 01:51:15 +0300

После 8 месяцев разработки состоялся релиз mruby 2.0, встраиваемого интерпретатора динамического объектно-ориентированного языка программирования Ruby. Mruby обеспечивает совместимость синтаксиса на уровне Ruby 1.9, но также поддерживает отдельные возможности из более новых версий. Интерпретатор отличается низким потреблением памяти и возможностью встраивания в другие приложения. Кроме того, поддерживается компиляция Ruby-программ в байткод при помощи развиваемого проектом компилятора "mrbc" и преобразование полученнего байткода в код на языке Си. Код mruby распространяется под лицензией MIT.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome