Неудача - это разновидность удачи, которая не знает промаха.

История из жизни:Забегает в аптеку пацанчик, лет 16-ти, пальцы веером, и без очереди заявляет ...

В Firefox 69 будет по умолчанию отключен Flash
Mon, 17 Jun 2019 10:49:33 +0300

Ubuntu будет поставлять Chromium только в виде snap-пакета
Mon, 17 Jun 2019 08:46:14 +0300

В Firefox 68 появится новый менеджер дополнений
Sat, 15 Jun 2019 09:51:55 +0300

Готовится версия Astra Linux для смартфонов
Thu, 13 Jun 2019 14:30:08 +0300

Опубликованы сборки Windows Insider с подсистемой WSL2 (Windows Subsystem for Linux)
Thu, 13 Jun 2019 13:50:29 +0300

CERN отказывается от продуктов Microsoft в пользу открытого ПО
Thu, 13 Jun 2019 12:31:14 +0300

Подготовка CentOS 8 отстаёт от графика
Thu, 13 Jun 2019 07:41:35 +0300

Выпуск децентрализованной коммуникационной платформы Matrix 1.0
Wed, 12 Jun 2019 11:47:06 +0300

Представлены новые логотипы Firefox и связанных с ним сервисов
Wed, 12 Jun 2019 09:54:00 +0300

Выпуск Debian 10 запланирован на 6 июля
Wed, 12 Jun 2019 09:02:55 +0300

Непрекращающаяся DDoS-атака на OpenClipArt
Tue, 11 Jun 2019 10:48:00 +0300

Huawei обсудил возможность использования Авроры/Sailfish в качестве альтернативы Android
Tue, 11 Jun 2019 08:07:05 +0300

Позиция Blender по поводу свободного характера проекта и платных GPL-дополнений
Sun, 09 Jun 2019 21:15:00 +0300

Mozilla планирует запустить платный сервис Firefox Premium
Sun, 09 Jun 2019 09:50:11 +0300

Бывший техдиректор NPM развивает распределённый репозиторий пакетов Entropic
Fri, 07 Jun 2019 23:00:34 +0300

Новости OPENNET
Новости

Продолжают находить критические уязвимости в Ghostscript, наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF. Новые проблемы CVE-2019-3835 и CVE-2019-3838 позволяют при обработке специально оформленных документов обойти режим изоляции "-dSAFER" и получить доступ к содержимому ФС, что можно использовать для организации атаки для выполнения произвольного кода в системе (например, через добавление команд в ~/.bashrc или ~/.profile). В дистрибутивах уязвимости устранены в RHEL, Fedora и Ubuntu и остаются неисправленными в Debian, Arch, SUSE, FreeBSD. За последние 6 месяцев в Ghostscript выявлено уже 16 подобных уязвимостей.

Напомним, что уязвимости в Ghostscript представляют повышенную опасность, так как данный пакет используется во многих популярных приложениях для обработки форматов PostScript и PDF. Например, Ghostscript вызывается в процессе создания миниатюр на рабочем столе, при фоновой индексации данных и при преобразовании изображений. Для успешной атаки во многих случаях достаточно просто загрузить файл с эксплоитом или просмотреть каталог с ним в Nautilus.

Уязвимости в Ghostscript также можно эксплуатировать через обработчики изображений на базе пакетов ImageMagick и GraphicsMagick, передав в них JPEG или PNG-файл, в котором вместо картинки находится код PostScript (такой файл будет обработан в Ghostscript, так как MIME-тип распознаётся по содержимому, а не полагаясь на расширение).

В качестве обходного пути защиты от эксплуатации уязвимости через автоматический построитель миниатюр в GNOME и ImageMagick рекомендуется переименовать исполняемый файл /usr/bin/evince-thumbnailer и запретить обработку форматов PS, EPS, PDF и XPS в ImageMagick, для чего в секцию "policymap" файла конфигурации /etc/ImageMagick/policy.xml следует добавить:


‹policy domain="coder" rights="none" pattern="PS" /› ‹policy domain="coder" rights="none" pattern="PS2" /› ‹policy domain="coder" rights="none" pattern="PS3" /› ‹policy domain="coder" rights="none" pattern="EPS" /› ‹policy domain="coder" rights="none" pattern="PDF" /› ‹policy domain="coder" rights="none" pattern="XPS" /›

Дополнение: В апреле вышло обновление Ghostscript 9.27, в котором устранены вышеупомянутые уязвимости.

9.306 72.6993 0.5954 64.4326

НОВОСТИ: Google обосновал ограничение API webRequest, используемого блоки ... Thu, 13 Jun 2019 23:58:42 +0300

Разработчики браузера Chrome попытались обосновать прекращение поддержки блокирующего режима работы API webRequest, позволяющего менять принимаемый контент на лету и активно применяемого в дополнениях для блокирования рекламы.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome