Proběhla hackerská soutěž Pwn2Own Ireland 2025. Celkově bylo vyplaceno 1 024 750 dolarů za 73 unikátních zranitelností nultého dne (0-day). Vítězný Summoning Team si odnesl 187 500 dolarů. Shrnutí po jednotlivých dnech na blogu Zero Day Initiative (1. den, 2. den a 3. den) a na YouTube.
Byl publikován říjnový přehled dění a novinek z vývoje Asahi Linuxu, tj. Linuxu pro Apple Silicon. Pracuje se na podpoře M3. Zanedlouho vyjde Fedora Asahi Remix 43. Vývojáře lze podpořit na Open Collective a GitHub Sponsors.
Iniciativa Open Device Partnership (ODP) nedávno představila projekt Patina. Jedná se o implementaci UEFI firmwaru v Rustu. Vývoj probíhá na GitHubu. Zdrojové kódy jsou k dispozici pod licencí Apache 2.0. Nejnovější verze Patiny je 13.0.0.
Obrovská poptávka po plynových turbínách zapříčinila, že datová centra začala používat v generátorech dodávajících energii pro provoz AI staré dobré proudové letecké motory, konvertované na plyn. Jejich výhodou je, že jsou menší, lehčí a lépe udržovatelné než jejich průmyslové protějšky. Proto jsou ideální pro dočasné nebo mobilní použití.
Typst byl vydán ve verzi 0.14. Jedná se o rozšiřitelný značkovací jazyk a překladač pro vytváření dokumentů včetně odborných textů s matematickými vzorci, diagramy či bibliografií.
Specialisté společnosti ESET zaznamenali útočnou kampaň, která cílí na uživatele a uživatelky v Česku a na Slovensku. Útočníci po telefonu zmanipulují oběť ke stažení falešné aplikace údajně od České národní banky (ČNB) nebo Národní banky Slovenska (NBS), přiložení platební karty k telefonu a zadání PINu. Malware poté v reálném čase přenese data z karty útočníkovi, který je bezkontaktně zneužije u bankomatu nebo na platebním terminálu.
V Ubuntu 25.10 byl balíček základních nástrojů gnu-coreutils nahrazen balíčkem rust-coreutils se základními nástroji přepsanými do Rustu. Ukázalo se, že nový "date" znefunkčnil automatickou aktualizaci. Pro obnovu je nutno balíček rust-coreutils manuálně aktualizovat.
VST 3 je nově pod licencí MIT. S verzí 3.8.0 proběhlo přelicencování zdrojových kódů z licencí "Proprietary Steinberg VST3 License" a "General Public License (GPL) Version 3". VST (Virtual Studio Technology, Wikipedie) je softwarové rozhraní pro komunikaci mezi hostitelským programem a zásuvnými moduly (pluginy), kde tyto moduly slouží ke generování a úpravě digitálního audio signálu.
Open source 3D herní a simulační engine Open 3D Engine (O3DE) byl vydán v nové verzi 25.10. Podrobný přehled novinek v poznámkách k vydání.
V Londýně probíhá dvoudenní Ubuntu Summit 25.10. Na programu je řada zajímavých přednášek. Zhlédnout je lze také na YouTube (23. 10. a 24. 10.).
A teraz záhada: kedysi v tom okne bol checkbox "Remember password". Teraz tam nie je. Navyše na jednom stroji mám polia "User name" a "Password" pred-vyplnené; na druhom sú prázdne. Nedávno ma to dožralo a pustil som sa pátrať po tom, kam sa mi checkbox stratil.
Dopátral som sa k tomu, že kód zodpovedný za zobrazenie toho dialogu je v deploy.jar, ktorý je súčasťou JRE a na linuxe ho mám v /usr/lib/java/jre/lib/deploy.jar. Tento jar obsahuje niekoľko tried, ktoré nie sú súčasťou Java API. Napríklad je v ňom UIFactory, ktorá má metódu showPasswordDialog(...) a tá má parameter saveEnabled. No a keď v ňom príde true, tak checkbox bude a inak nebude. Neviem sa spoľahlivo dopátrať k tomu, odkiaľ je tá metóda volaná. Ale stiahol som si zdrojáky javy a v nich som hľadal volania showPasswordDialog(...). Väčšina z nich natvrdo posiela saveEnabled=false, ale DeployAuthenticator obsahuje:
isEncryptionEnabled = getCredentialManager().isPasswordEncryptionSupported();
...
info = UIFactory.showPasswordDialog(parentComponent == null ? null : parentComponent.get(),
getMessage("password.dialog.title"),
details, true, isDomainNeeded, cred,
isEncryptionEnabled, authDisplayString );
a mám pocit, že práve táto trieda je zavolaná v tom mojom prípade.
Metóda getCredentialManager() vracia objekt triedy CredentialManager. A v nej je natvrdo napísané,
protected boolean isPasswordEncryptionSupported() {
// not available in base class
return false;
}
Z toho vyplýva, že pokiaľ niekto z tej triedy nezdedí na nenapíše vlastnú implementáciu, tak sa heslá ukladať nebudú. No a kto dedí z CredentialManager? Na moje prekvapenie MSCredentialManager, kde to MS na začiatku znamená samozrejme Microsoft. V tejto triede je natívna trieda, ktorá sa pokúsi loadnúť Crypt32.dll atď, atď.
Zaujímavé na tom je, že akosi neexistuje ekvivalentná linuxová implementácia. To ma tak zarazilo, že som zabudol pátrať po tom, od čoho závisí pred-vyplnenie políčok s prihlasovacím menom a heslom.
Mno, tak to by sme mali. Pokiaľ by sa niekomu chcelo overiť moje zistenia, nejak ich okomentovať alebo nebodaj navrhnúť ako dotiahnuť Oracle k pridaniu Linuxovej implementácie, bol by som rád.
Tiskni
Sdílej:
~/.java/deployment/security/auth.dat. Iste by sa dala napísať javovská trieda, ktorá by to integrovala s KDE Wallet, Gnome keyring, alebo trebárs Password Safe. Ale je to oštara. Java na Linuxe šifrovať vie, tak prečo by mala mať menšiu funkcionalitu, ako na Windowsoch?