Новини Linux #28: нова ОС від Google, вразливості Redis і Fedora, та Chrome проти Flash

4 хв. читання

Google розвиває нову ОС

Fuchsia {full-post-img}

Компанія Google опублікувала напрацювання зі створення нової операційної системи Fuchsia, для якої розвивається два ядра: Magenta і LK. Підтримуються архітектури ARM, ARM64 і x86-64. Незабаром очікується збірка для Raspberry Pi 3.

Magenta є повнофункціональним ядром, орієнтованим на застосування на досить потужних пристроях, таких як смартфони і персональні комп'ютери. Ядро LK, раніше розвивалося в рамках проекту littlekernel, призначене для систем з обмеженим розміром ОЗУ і невеликою продуктивністю процесора, які зазвичай застосовуються у вбудованих рішеннях.

Офіційного анонса нового проекту, що пояснює цілі розробки, поки не опубліковано - зараз Google просто розмістив код в репозиторіях. Документація до проекту мінімальна, а загальна інформація оформлена у вигляді загадки "Pink + Purple == Fuchsia (a new Operating System)". При цьому, в команді Fuchsia відзначені деякі відомі розробники, які брали участь у створенні проектів NewOS, BeOS, Danger, iOS і webOS.

Судячи з опублікованого коду для розробки інтерфейсу додатків пропонується використовувати фреймворк Flutter, написаний на мові програмування Dart (до складу Fuchsia входить обгортка для запуску додатків на Dart). Для відтворення задіяний компонент Escher, що використовує OpenGL або Vulkan і підтримує розширені візуальні ефекти, такі як об'ємні м'які тіні, відображення кольорів і розсіювання світла. Для розробників системних додатків пропонується фреймворк Mojo.


Шкідливе ПО використовує вразливість СУБД Redis для майнінгу криптовалют

Redis

Компанія DrWeb повідомила про виявлення нового шкідливого ПО Linux.Lady.1, що вражає сервери на базі Linux зі встановленими незахищеними конфігураціями СУБД Redis. Після отримання контролю над вразливим сервером Redis програма встановлюється в систему і використовується зловмисниками як ланка в кластері для майнінгу криптовалют.

Шкідливе ПО також може займатися збором і відправкою інформації зі скомпрометованого сервера і організовувати атаки на інші системи з метою свого поширення.


Серйозна уразливість в Fedora

Fedora

В системі Fedora Account System (FAS), використовуваної для авторизації і організації входу розробників Fedora в різні web-сервіси проекту, в тому числі в репозиторії git і Bugzilla, виявлена ​​проблема з безпекою, що дозволяє без авторизації виконати HTTP-запит від імені будь-якого користувача інфраструктури.

Уразливість пов'язана з логічною помилкою в коді, через яку web-додаток FAS може прийняти некоректний підроблений клієнтський сертифікат. При установці заголовка X-Client-Verify здійснювалося копіювання логіна з заголовка X-Client-CN, виставлявся прапор успішної авторизації і пропускалася стадія перевірки пароля. Проблема вирішена в свіжому випуску FAS шляхом видалення коду підтримки авторизації по клієнтським сертифікатам.

При відправці запиту від імені учасника проекту Fedora, що має високий рівень доступу, атакуючий міг додати, відредагувати або видалити параметри облікового запису користувача або групи. Так як FAS є відкритою розробкою і використовується не тільки в Fedora, розробникам проектів, які застосовують FAS, рекомендується терміново оновити систему до останнього випуску.

Проблема виявлена розробниками Fedora і вже усунена в робочому сервісі. Репозиторії пакетів, компоненти дистрибутива Fedora і користувачі не постраждали. В даний час проводиться додатковий аудит старих податків для виявлення ознак можливих маніпуляцій параметрами користувачів і груп. На поточний момент ніяких ознак, що про уразливість було відомо зловмисникам не знайдено. У цілісності репозиторіїв розробники не сумніваються, так як будь-яка активність в інтерфейсі dist-git, пов'язана з вмістом пакетів, призводить до відправки повідомлення супроводжуючим. При цьому через web-сервіси вплинути на відправку подібних повідомлень неможливо.


У Chrome вводяться обмеження на відтворення флеш-контенту

Chrome {full-post-img}

Компанія Google оголосила про форсування просування технологій HTML5 шляхом введення нових обмежень по обробці Flash-контенту в web-браузері Chrome. У вересневому релізі Chrome 53 буде здійснене блокування невидимого Flash-контенту, такого як лічильники і генератори ідентифікаторів. Очікується, що блокування даного виду контенту скоротить енергоспоживання систем і збільшить чуйність при перегляді багатьох сайтів. Схоже рішення раніше також було прийнято розробниками Firefox.

У грудневому випуску Chrome 55 за замовчуванням буде просуватися застосування HTML5, за винятком сайтів, які підтримують тільки Flash. Замість кліка для активації конкретного контенту при першому відкритті подібних сайтів буде виводитися загальне повідомлення з пропозицією активувати Flash.


Релізи

{full-post-img}


Інші матеріали

Помітили помилку? Повідомте автору, для цього достатньо виділити текст з помилкою та натиснути Ctrl+Enter
Codeguida 5.9K
Приєднався: 8 місяців тому
Коментарі (0)

    Ще немає коментарів

Щоб залишити коментар необхідно авторизуватися.

Вхід / Реєстрація