Vláda Spojených států získala desetiprocentní podíl v americkém výrobci čipů Intel. Oznámili to podle agentur americký prezident Donald Trump a ministr obchodu Howard Lutnick. Společnost Intel uvedla, že výměnou za desetiprocentní podíl obdrží státní dotace v hodnotě 8,9 miliardy dolarů (zhruba 186 miliard Kč). Částka podle Intelu zahrnuje dříve přislíbené subvence 5,7 miliardy dolarů z programu CHIPS na podporu výroby čipů v USA,
… více »Organizace Apache Software Foundation (ASF) vydala verzi 27 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.
Knihovna FFmpeg byla vydána ve verzi 8.0 „Huffman“. Přibyla mj. podpora hardwarově akcelerovaného kódování s využitím API Vulcan, viz seznam změn.
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal Zprávu o stavu kybernetické bezpečnosti ČR za rok 2024 (pdf). V loňském roce NÚKIB evidoval dosud nejvíce kybernetických bezpečnostních incidentů s celkovým počtem 268. Oproti roku 2023 se však jedná pouze o drobný nárůst a závažnost dopadů evidovaných incidentů klesá již třetím rokem v řadě. V minulém roce NÚKIB evidoval pouze jeden velmi významný incident a významných incidentů bylo zaznamenáno 18, což oproti roku 2023 představuje pokles o více než polovinu.
Byl publikován aktuální přehled vývoje renderovacího jádra webového prohlížeče Servo (Wikipedie). Servo mimo jiné nově zvládne animované obrázky APNG a WebP.
Na chytré telefony a počítačové tablety v Rusku bude od začátku příštího měsíce povinné předinstalovávat státem podporovanou komunikační aplikaci MAX, která konkuruje aplikaci WhatsApp americké společnosti Meta Platforms. Oznámila to dnes ruská vláda. Ta by podle kritiků mohla aplikaci MAX používat ke sledování uživatelů. Ruská státní média obvinění ze špehování pomocí aplikace MAX popírají. Tvrdí, že MAX má méně oprávnění k přístupu k údajům o uživatelích než konkurenční aplikace WhatsApp a Telegram.
Společnost PINE64 stojící za telefony PinePhone nebo notebooky Pinebook publikovala na svém blogu srpnový souhrn novinek. Kvůli nedostatečnému zájmu byla ukončena výroba telefonů PinePhone Pro.
Po pěti měsících vývoje byla vydána nová verze 0.15.1 programovacího jazyka Zig (GitHub, Wikipedie). Verze 0.15.0 byla přeskočena. Přispělo 162 vývojářů. Přehled novinek v poznámkách k vydání.
Před sedmi lety společnost Valve představila fork projektu Wine s názvem Proton umožňující v Linuxu přímo ze Steamu hrát počítačové hry do té doby běžící pouze ve Windows. Aktuální přehled podporovaných her na stránkách ProtonDB
Společnost DuckDuckGo rozšířila svůj AI chat Duck.ai o GPT-5 mini (𝕏). Duck.ai umožňuje anonymní přístup bez vytváření účtů k několika modelům umělé inteligence. Aktuálně k GPT-4o mini, GPT-5 mini, Llama 4 Scout, Claude Haiku 3.5 a Mistral Small 3.
S velkou slávou Google představil plugin přinášející na Linux podporu pro hlas a video v jejich Gmail IM klientu. Pod zprávičkou se objevila vtipná poznámka od anonyma Virt6: To je Apt-backdoor. Klasická součást všech balíků google . Bohužel, při bližším ohledání mi zmrzl úsměv na rtech.
Samotná stránka kde je odkaz na stažení balíčku není automaticky přenášená šifrovaně - tedy MITM útok není žádný problém. Ale řekněme, že uživatel je paranoidní a to s do adresního řádku dopíše. To je mu po kliknutí na tlačítko "Instalovat" na nic, protože Google odkaz vede na tunu JavaScriptu a výsledný soubor zase na nešifrované HTTP. A co hůř, tady už finta s přidáním s do protokolu nefunguje - jednoduše dojde k přesměrování na úvodní stránku Google. Na to, že k tomu balíčku nikde nenabízí kontrolní součty - a ani ten balíček není podepsaný je to už docela průšvih. Ale teď už se podíváme na samotný ballíček.
Je to standardní .deb balík, takže rozbalíme ar x google-talkplugin_current_amd64.deb, vylezou nám z toho dva .tar.gz archivy: data.tar.gzkde se nachází soubory které přijdou do filesystému a control.tar.gz kde jsou umístěny drobnosti jako instalační skripty nebo MD5 jednotlivých souborů v archivu. Nejprve koukneme na data.tar.gz.
Veškeré soubory jsou v /opt/google/talkplugin. V /usr je pár symlinků a changelog. To, co je zajímavé je ale v adresáři opt/google/talkplugin/cron a nasymlinkováno do etc/cron.daily/google-talkplugin. A tady to začíná být opravdu (ne)veselé. Nejen, že tento skript přidá do systému repozitář Google, on dokonce přidá svůj klíč mezi důvěryhodné klíče repozitářů. Pokud balíčkovač repozitář Googlu při upgradu zakáže, ten skript ho opět povolí. Tedy pokud si tento balíček nainstalujete, nejen, že je nijak neověřený ale dojde i k automatickému přidání nijak neověřeného GPG klíče mezi důvěryhodné zdroje. Výsledné dopady na bezpečnost mohou být katastrofální.
Tiskni
Sdílej:
Google však neprozradil, jaké počítače použilJinak nepodepisováním balíčků trpí třeba i Arch (jeden ze dvou důvodů, proč jsem od něj odešel) a takovýto MITM možná používá i česká policie.
anonyma Virt6Tak od anonyma, nebo od Virt6?
on dokonce přidá svůj klíč mezi důvěryhodné klíče repozitářůNepoznám debian/apt, ale fungujú tie kľúče? Ja overujem Slackware-ové balíky GPG kľúčmi a aby bol GPG kľúč Slackware-u dôveryhodný, tak musí byť podpísaný mojím GPG kľúčom. A to bezo mňa žiaden skript neurobí.