Andrew S. Tanenbaum byl oceněn 2023 ACM Software System Award (Wikipedie) za operační systém MINIX.
Celkový počet stažení aplikací z Flathubu překročil 2 miliardy. Aktuální Statistiky Flathubu: Celkový počet stažení 2 002 793 783. Celkem desktopových aplikací 2 636.
Byla vydána nová verze 4.8.0 programu na úpravu digitálních fotografií darktable (Wikipedie).
Nová čísla časopisů od nakladatelství Raspberry Pi: MagPi 142 (pdf) a HackSpace 79 (pdf).
Qtractor (Wikipedie) dospěl do verze 1.0.0. Jedná se o Audio/MIDI vícestopý sekvencer.
Byl vydán svobodný kancelářský balík OnlyOffice Docs 8.1. Vedle četných oprav přináší několik funkcí včetně podpory editace textu v PDF a vytváření formulářů v PDF.
Daniel Stenberg, autor nástroje curl, z databáze SteamDB zjistil, že aktuálně 22 734 her na Steamu používá curl.
Společnost Anthropic vydala Claude 3.5 Sonnet, tj. novou verzi své umělé inteligence Claude (Wikipedie). Videoukázky na YouTube. S Claude 3, stejně jak s GPT-3.5, Llama 3 a Mixtral, si lze pokecat bez přihlašování na DuckDuckGo AI Chat.
Byla vydána nová stabilní verze 6.8 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 126. Přehled novinek i s náhledy v příspěvku na blogu a na YouTube. Vypíchnuta jsou vylepšení v integrovaném poštovním klientu.
Příspěvek Aukce domén – měsíc po spuštění na blogu CZ.NIC shrnuje první měsíc provozu Aukce domén .CZ. Aukcemi prošlo celkem 18 174 domén, z toho na 742 z nich byl učiněn alespoň 1 příhoz. Nejdražší aukcí byla na doménu virtualnisidlo.cz s cenou 95 001 Kč, která však nebyla včas uhrazena. Nejdražší aukcí, která byla vydražena i zaplacena je praguecityline.cz s cenovkou 55 600 Kč.
V skratke: BHI je nový typ zraniteľnosti špekulatívneho vykonávania, ktorá postihuje väčšinu procesorov Intel a Arm a ktorá útočí na globálnu históriu vetiev namiesto predpovedania cieľa vetvy. Predchádzajúce mitigations pre Spectre V2 bohužiaľ pred BHI neochránia, hoci procesory AMD sú väčšinou imúnne. Výrobcovia by mali čoskoro vydať bezpečnostné záplaty a jadro Linuxu už bolo opravené.
BHI je dôkazom konceptu reimplementácie útoku typu Spectre V2 (alebo Spectre-BTI). Ovplyvňuje akýkoľvek procesor, ktorý je zraniteľný aj voči Spectre V2, aj keď už boli implementované záplaty , Spectre V2 dokáže obísť eIBRS spoločnosti Intel a CSV2 spoločnosti Arm. Tieto záplaty chránia pred injektovaním cieľov vetiev, zatiaľ čo nový exploit umožňuje útočníkom injektovať položky prediktorov do globálnej histórie vetiev. BHI sa dá použiť na únik ľubovoľnej pamäte jadra, čo znamená, že môžu byť kompromitované citlivé informácie, napríklad heslá.
VUSec to vysvetlil takto: "BHI je v podstate rozšírením Spectre v2, kde využívame globálnu históriu na opätovné zavedenie zneužitia krížových privilégií BTI. Cielom útočníka je teda stále Spectre v2, ale injektovaním histórie cez hranice privilégií (BHI) môžeme zneužiť systémy, ktoré nasadzujú nové hardvérové mitigations (t. j. Intel eIBRS a Arm CSV2)."
Využitie BHI, pri ktorom uniká ľubovoľná pamäť jadra, v akcii
https://www.youtube.com/watch?v=537HUwV36ME
Zraniteľnosť sa týka všetkých procesorov Intel uvedených na trh od Haswellu vrátane Ice Lake-SP a Alder Lake. Medzi postihnuté procesory Arm patria Cortex A15/A57/A65/A72/A73/A75/A76/A77/A78/X1/X2/A710, Neoverse N2 / N1 / V1 a Broadcom Brahma B15.
ID CVE pre Arm je CVE-2022-23960 a Intel používa ID CVE-2022-0001 a CVE-2022-0002. Obe spoločnosti zverejnili viac informácií o svojich dotknutých procesoroch Intel a Arm.
Spoločnosť Intel vydala nasledujúce vyhlásenie týkajúce sa zneužitia BHI: "Útok, ktorý preukázali výskumníci, bol predtým vo väčšine distribúcií Linuxu štandardne zmiernený. Linuxová komunita implementovala odporúčania spoločnosti Intel počnúc verziou linuxového jadra 5.16 a v súčasnosti prebieha spätná správa zmiernenia do skorších verzií linuxového jadra. Spoločnosť Intel vydala technické dokumenty opisujúce ďalšie možnosti pre tých, ktorí používajú iné ako predvolené konfigurácie a dôvody prečo zmiernenie LFENCE; JMP nie je vo všetkých prípadoch dostatočné."
Zdá sa, že procesory AMD sú voči BHI imúnne. Podľa Phoronixu by mali byť procesory, ktoré majú predvolené používanie Retpolines pre zmiernenie Spectre V2, v bezpečí.
Bezpečnostné záplaty od výrobcov by sa mali objaviť čoskoro. Okrem ich inštalácie výskumníci odporúčajú ako ďalšie preventívne opatrenie vypnúť neprivilegovanú podporu eBPF. Linux už začlenil bezpečnostné aktualizácie do svojho hlavného jadra. Zatiaľ nie je známe, či tieto bezpečnostné záplaty ovplyvnia výkon.
VUSec info : https://www.vusec.net/projects/bhi-spectre-bhb/
Tiskni Sdílej: