Тем временем в арче готовятся к релизу KDE6.

Arm: ошибка драйвера GPU может уничтожить данные на смартфоне.

Источник: https://www.securitylab.ru/news/542345.php

Уязвимость CVE-2023-4211 описана как неправильный доступ к освобожденной памяти, что может позволить скомпрометировать или манипулировать чувствительными данными. Arm объясняет, что локальный пользователь без привилегий может выполнять неправильные операции обработки памяти графического процессора, чтобы получить доступ к уже освобожденной памяти.

Arm также раскрыла и другие уязвимости : CVE-2023-33200 и CVE-2023-34970, которые позволяют непривилегированному пользователю использовать состояние гонки (race condition) для выполнения неправильных операций графического процессора для доступа к освобожденной памяти. Ошибки затрагивают Bifrost, Valhall и версии драйвера ядра архитектуры GPU Arm 5-го поколения до r44p0, с рекомендуемыми целями обновления r44p1 и r45p0 (выпущенными 15 сентября 2023 года).

В среднем по больнице вам, как обычному пользователю, делать ничего не надо, а надо просто ждать обновление прошивки с обновленными драйверами. И не забыть немного пофейспалмить.

В Firefox 119 будет изменено поведение при восстановлении сеанса

Источник: https://www.opennet.ru/opennews/art.shtml?num=59865

В следующем выпуске Firefox решено изменить некоторые настройки, связанные с восстановлением прерванного сеанса после выхода из браузера. В отличие от прошлых выпусков между сеансами начнут сохраняться сведения не только об активных вкладках, но и о недавно закрытых вкладках, что позволит восстанавливать случайно закрытые вкладки после перезапуска и просматривать их список в режиме Firefox View. По умолчанию будут сохраняться данные о 25 послед них вкладках, открытых за последние 7 дней. Также будут учитываться данные о вкладках в закрытых окнах и обрабатываться список закрытых вкладок в контестке сразу всех окон, а не только текущего окна.

Очень годно, очень! Мне частенько нехватало возможности после перезапуска браузера (например, после обновления системы) открыть закрытую ранее вкладку. С релиза 119 будет можно!

Готовы помереть от double-free или buffer overflow? :)

r/ #technology
Теперь на завод отправляют и пилотов: корейские ученые создали гуманоидного робота-лётчика Pibot, которого можно посадить в кабину любого самолета

Рост робота составляет 150 см. В отличие от людей ему не требуется длительное обучение. Достаточно загрузить в «мозг» необходимые инструкции, после чего машина будет тут же готова сесть за штурвал как пассажирского воздушного судна, так и коммерческого или военного.

Пока прототип тренируют на авиасимуляторах, а реальные полёты начнутся лишь в 2026 году.

Тут прилетело "кросивое" в новостях:

❗️В России хотят создать программу поддержки «обратных» релокантов, чтобы решить проблему нехватки IT-специалистов, пишут «Известия».

Их предложили восстанавливать на службе или искать им новую работу, а также предоставлять временное жилье и материальное пособие. Такая инициатива содержится в статье, опубликованной в последнем номере журнала ВНИИ труда. Дополнительные льготы поспособствуют возвращению части эмигрировавших айтишников, однако несильно снизят дефицит кадров, считают эксперты. По их словам, следует также создавать больше бюджетных мест по направлениям IT.

(Источник)

Если это правда, то я очень сильно возмущен. И вот почему:

- На мои налоги будут "вытаскивать" ссыкунов.
- К тому же, вполне вероятно, ссыкунов завербованных противником, который хочет порушить нашу экономику.

Почитать статью можно тут (страница 131 и далее), интересующий пункт находится на странице 136.

Неужели действительно никто не оценивает рисков возврата такого "балласта"? Что они полезного сделают? При следующем "катаклизме" в виде второй волны частичной мобилизации или, не дай б-г конечно, всеобщей мобилизации, опять побегут галопом штурмовать Верхний Ларс и прочие КПП? Или же начнут устраивать диверсии на электросетях, сетях связи, на автоматизированных производствах (привет, вербовка, ага)?

Вместо возврата релокантов (скатертью им дорога, пускай лучше не возвращаются!) лучше бы другие меры приняли для поддержки айтишников:

- Убрали бы требование вышки. Текущее высшее айтишное образование очень редко где поспевает за всеми новыми штуками, которые появляются каждый день. Скажите, например, где обучают использованию kubernetes (а я бы на это минимум семестр бы отвел, там ДОХРЕНА)? Или же где обучают не просто писать код, а писать эффективный код? Вы удивитесь, сколько у нас оказывается отличных айтишников без вышки, или без профильной вышки!
- Про ту же пресловутую айтишную ипотеку - убрать требование первого взноса. Ладно руководящее звено с зряплатой под 400-500к, но в среднем линейные получают сейчас что-то около 100-150к. При условии, что на нормальную еду и одежду влегкую уходит 60-80к, скажите, как скоро такой айтишник накопит на ипотеку в 5 лимонов за однушку (а это где-то 1 лимон первоначального взноса)? А если человек семейный, и ему нужна двушка, а лучше трешка? Как он наберет 1.5-3 лимона на первый взнос? (я беру цены для Екатеринбурга, в Москве все еще грустнее)

Не с той стороны заходите, в общем.

Релиз OpenSSH 9.5.

Источник: https://www.opennet.ru/opennews/art.shtml?num=59877

Произошло еще в четверг, поэтому в bleeding edge уже доехало, скорее всего.

Примечателен релиз тем, что по-умолчанию ssh-keygen теперь генерирует ключи на базе цифровой подписи ed25519 (ура!), а также защитой от атак по сторонним каналам, связанным с временными задержками между нажатиями клавиш - теперь любые нажатия передаются каждые 20мс (или используется значение ObscureKeystrokeTiming).

Поздравляем гномеров с еще одним отстрелом ноги. Видимо, они довольно быстро регенерируют :)

Нет, я не против удаления, сам уже пару лет как сижу на вяленом в кедах и радуюсь хорошей работе всего GUI. Просто у гномеров так повелось - любое удаление функционала есть отстрел ноги и полгода нестабильной работы до следующего релиза :).

Для GNOME предложены изменения, нацеленные на прекращение
поддержки X11

https://www.opennet.ru/opennews/art.shtml?num=59892

Джордан Петридис (Jordan Petridis), входящий в команды, отвечающие за контроль качества и выпуск релизов GNOME, опубликовал запрос на изменение, удаляющее из пакета gnome-session systemd-таргеты для запуска в окружениях с X11. Отмечается, что это первый шаг на пути к отказу от поддержки протокола X11 в GNOME. Тем не менее, на текущей стадии остальная функциональность, необходимая для запуска сеанса X11, остаётся на месте (но намечена для удаления в следующем цикле разработки) и пользователи могут вернуть поддержку X11, добавив systemd-таргеты вручную.

В России появятся отечественные ПК и серверы на китайских процессорах Loongson.

Источник: https://3dnews.ru/1094189/publikatsiya-1094189

Сегодня в Сочи стартовал форум «Микроэлектроника», на котором российская «Норси-Транс» объявила о начале производства серверов, систем хранения данных, персональных компьютеров и ноутбуков на китайских процессорах Loongson. Поставки этих чипов в Россию в конце 2022 года были ограничены китайскими властями. Решение Loongson возобновить поставки в Россию эксперты связывают с попаданием Loongson под санкции США.

Российская компания «Промобит» тоже планирует использовать чипа Loongson в своей вычислительной технике, которая выпускает продукцию под брендом Bitblaze.

Собственно, Китаю уже давно пора понять, что Тайвань надо забирать, и партнериться с Россией в том числе по микроэлектронике. Так победим.

Но вообще прямо интересно посмотреть вживую и потыкать что-то на LoongArch. Если у вас есть такая железяка, вы в ебурге и готовы на несколько дней ее дать напотыкать - почта в профиле :).

В чем разница аудитории в телеге и в федиверсе - а вот в чем. 3 огня тут (что можно рассчитывать только как положительную эмоцию), и -3 голоса в федиверсе (по-умолчанию новому посту дается 1 голос - ваш).

Набегайте на https://bin.pztrn.online/c/coweram (и подписывайтесь в федиверсе на coweram@bin.pztrn.name), я туда зеркалирую практически все посты.

Добавлю только, что ты еще в одном шаге от возможной блокировки работы девайсов. Андроид хотя бы попытаться прошить можно...

Apple разрешила оплату мимо App Store в приложениях в России

Source: https://developer.apple.com/contact/request/storekit-external-entitlement-ru/

Несмотря на то, что прошло уже почти два года с тех пор, как Apple покинула наш рынок, компания продолжает соблюдать местное законодательство и вносить изменения в работу своих сервисов на территории нашей страны. В этот раз Apple разрешила использовать сторонние средства оплаты в приложениях, публикуемых в российском App Store.

Средства оплаты будут проходить модерацию, комиссия за оплату будет составлять 27% (и разработчикам будет необходимо самостоятельно считать свою выручку и отправлять этот «налог на Apple» компании), а использовать сторонние способы оплаты за пределами России будет нельзя. Данное изменение является результатом решения суда, согласно которому Apple были обязаны внедрить поддержку сторонних способов оплаты.

Я же в очередной раз напомню, что в 2023 году в России без телефона на Android ты становишься белой вороной без банковских приложений и бесконтактной оплаты.

Brave устанавливает дополнительное ПО без разрешения пользователей.

Источник: https://www.securitylab.ru/news/542928.php

В довесок вы получаете VPN клиент фирменного сервиса от разработчиков браузера. После поднятой волны недовольства вице-президент разработки (ничоси, у них там уже и президенты есть!) пообещал, что VPN клиент будет скачиваться и устанавливаться только после подписки (которая, кстати, $10 в месяц). А пока рекомендуется ставить браузер пользователю в хомяк, чтобы у него не было прав администратора на установку системных приложений и драйверов (что, собственно, требует wireguard).

Видимо, этим умникам мало было скандала с автоподстановкой рефералок на всякие криптобиржи. Приехал новый уровень :)

В последнее время securitylab скатывается непонятно куда. Раньше там постились годные новости про безопасность, с некоторым разбавлением новостями о новых технологиях, а теперь...

Система ATHENA защищает воздушные суда от ракет с инфракрасным наведением:

...
Современное поле боя доминируется сложными вооруженными системами, однако часто самое большое опасение вызывают простые вооружения. Особенно опасными являются портативные зенитные ракетные комплексы (MANPAD), которые могут быть использованы террористами. Эти устройства, впервые представленные в 1950-х годах, являются портативными пусковыми установками, стреляющими ракетами, которые блокируют инфракрасную подпись двигателя воздушного судна.
...

Что, простите, блокируют???

В этом контексте "locked" (или "locking") должно переводиться как "захватывают". Захватывают они инфракрасный след двигателя. А, да, "signature" это не "подпись" в текущем контексте, а "след". Тогда фраза начинает быть осмысленной:

Эти устройства, впервые представленные в 1950-х годах, являются портативными пусковыми установками, стреляющими ракетами, которые захватывают инфракрасный след двигателя воздушного судна.

И то можно для точной передачи смысла в конец дописать "в качестве цели".

Вы там что, новости без вычитки редактурой выпускаете, да?

#чотБомбануло