A Skycure-os Adi Sharabani és Yair Amit felfedezte, hogy preparált WiFi hálózat / captive portal segítségével képes lehet egyebek mellett ellopni az áldozat HTTP cookie-jait és azok felhasználásával az áldozatot a cookie-khoz tartozó oldalakon megszemélyesíteni. A támadó képes lehet a cookie-kat automatikusan, az áldozat közreműködése nélkül ellopni.

When iOS users connect to a captive-enabled network (commonly used in most of the free and paid Wi-Fi networks at hotels, airports, cafes, etc.), a window is shown automatically on users’ screens, allowing them to use an embedded browser to log in to the network via an HTTP interface. [...] Steal users’ (HTTP) cookies associated with a site of the attacker’s choice. By doing so, the attacker can then impersonate the victim’s identity on the chosen site. [...] While similar characteristics of this attack can happen when users open Safari on their mobile devices, the fact the attacker can automatically open the embedded-browser (by leveraging captive-networks handling by iOS), makes the attack automatic and more effective.

A biztonsági problémát a két szakértő 2013. június 3-án jelentette az Apple-nek, ami most, a 9.2.1-es iOS-ben javította azt. Érdemes mielőbb iOS 9.2.1-re frissíteni. Részletek a Skycure blogbejegyzésében.

Megjelent a POSIX rendszerekhez készült hangrendszer, a PulseAudio 8.0-s kiadása. Ugyan a PulseAudio elsősorban Linuxhoz készült, de portolták Solaris, FreeBSD, NetBSD, OS X, Windows 2000 és Windows XP operációs rendszerekre is. Amellett, hogy szerves része napjaink releváns Linux terjesztéseinek, különböző mobilgyártók is felhasználják különböző mobileszközeikben.

A 8.0-s kiadás főbb jellemzői:

• Automatic routing more likely to change profile
• OS X and NetBSD support improvements
• Systemd journal logging for clients
• New LFE balance programming interface
• Module-dbus-protocol
• More flexible configuration file handling
• pulsecore-8.0.so moved to a private directory
• New script for measuring memory consumption
• Various bug fixes and small improvements

Letölthető innen. Változások listája itt.

A BSD Now egy heti rendszerességgel megjelenő video podcast, amelynek célja a BSD operációs rendszerek népszerűsítése, illetve a már meglevő felhasználók friss BSD-s információkkal, hírekkel való ellátása. A BSD Now egyik műsorvezetője a PC-BSD alapító, vezető fejlesztő Kris Moore. Elérhető a BSD Now 125. epizódja, címe "Episode 125: DevSummits, Core and the Baldwin".

A Debian projekt nevében Ana Guerrero Lopez bejelentette a Debian 8 (kódnevén "jessie") harmadik karbantartási kiadását a Debian 8.3 képében. Ez a frissítés leginkább biztonsági hibajavításokat ad a stable kiadáshoz, illetve néhány komolyabb hibát korrigáltak benne. Aki rendszeresen frissít a security.debian.org-ról, annak a frissítésben levő csomagok nagy része már települt a rendszerén. Fontos megjegyezni, hogy ez a frissítés nem eredményez egy új verziójú Debian 8-at, mindössze néhány frissített csomagot ad a rendszerhez.

Részletek a bejelentésben.

Sikeres Kickstarter kampányon van túl a Jaguarboard projekt. A kínai (Shenzhen) Jaguar Electronic HK Co., Ltd. nagyjából Raspberry Pi méretben kínál x86-alapú SBC-t.

Brendan Eich, a JavaScript atyja, a Mozilla egykori vezetője egy új, Chromium alapú böngészővel tért vissza. A Brave tracking protection, ad block, beépített HTTPS Everywhere funkcióval próbálja felvenni a versenyt a versenytársakkal. A Brave nyílt forrású, a kód megtalálható a GitHub-on. Elérhető iOS-re, Linuxra, OS X-re, Windowsra, Androidra.

Részletek a Brave honlapján.

Az orosz Dr.Web antivírus cég egy új linuxos trójairól írt a minap. A Linux.Ekoms.1 viselkedését vizsgálva arra jutottak, hogy a kártevő bizonyos körülmények közt 30 másodpercenként képernyőképet készít, amelyeket feltölt egy szerverre, illetve különböző fájlokat tölthet le a kompromittált gépekre.

Technikai részletek a Linux.Ekoms.1-ről itt.

Az IPv6 egyre gyorsabban terjed, egyre több szolgáltató kapcsolja be kérdés és értesítés nélkül, másoknál kérésre már elérhető. Ezzel párhuzamosan egyre több olyan hely lesz, ami nem vagy nehezen érhető el IPv6 nélkül.

A Linux Akadémia ingyenes, online IPv6 alapjai képzésén többek között az IPv6 címek kezelését, a címzési módokat, az IPv6 használatát belső hálózaton és nem utolsó sorban egy alap IPv6 tűzfal készítését tanulod meg.

Jelentkezni a Linux Akadémia weboldalán tudsz.

A WhisperPush-ról 2013 végén volt szó először itt a HUP-on.

A TextSecure egy nyílt forrású, keresztplatformos kliens / protokoll, amely az SMS üzeneteket titkosítja mind lokálisan, mind átküldéskor, ha az átküldés egy másik TextSecure felhasználóhoz történik. A TextSecure-t az Open WhisperSystems tartja karban, ahol is a titkosítás, biztonság világban jól ismert Moxie Marlinspike felügyeli a vele kapcsolatos fejlesztéseket. Moxie volt a vezető fejlesztője a TextSecure CyanogenMod-os implementációjának. A TextSecure kliens logikát a CyanogenMod "WhisperPush" nevű rendszeralkalmazása tartalmazza. A WhisperPush kezdeti verziója a CM 10.2 nightly-kben került integrálásra.

A Perception Point Research Team friss blogbejegyzése szerint egy helyi privilégiumszint emelési 0day use-after-free sebezhetőséget fedeztek fel a Linux kernelben. Noha a sebezhetőség 2012 óta jelen volt, a csapat csak mostanában bukkant rá. A sebezhetőség felfedezése után értesítették a Kernel Security Team-et, majd később egy PoC exploitot is fejlesztettek hozzá. A sebezhetőség eszközök tízmillióit érintheti. Noha sem a felfedezőnek, sem a Kernel Security Team-nek nincs tudomása arról, hogy a sebezhetőséget kihasználnák, annak, aki még nem frissített, erősen javasolt a mielőbbi frissítés.

A PoC exploit elérhető innen (3.18-as, 64 bites sebezhető kernelen körülbelül 30 perc kellett egy Intel Core i7-5500 CPU-s gépen a sikeres exploitáláshoz). A sebezhetőség a CVE-2016-0728 azonosítót kapta. Az elemzés elolvasható itt. A nagyobb Linux disztribútorok már tegnap megkezdték a biztonsági figyelmeztetők (Ubuntu USN, Debian DSA) és a frissített kernelcsomagok kiadását.

A 2015. október 20-án kiadott OTRS 5-höz a mai napon megérkezett a 6. hibajavító kiadás. Az elmúlt 3 hónap során szinte nem telt el úgy nap, hogy a fejlesztők ne adtak volna valamit hozzá a forráskódhoz, amellyel több mint 100 hibát javítottak az eredeti kiadás óta. Szintén ebbe a verzióba kerültek be a magyar vonatkozású fejlesztések is, így ha valaki eddig halogatta az OTRS frissítést, akkor itt az ideje OTRS 5-re váltani!

A videón szereplő drón Raspberry Pi + PXFmini autopilot kiegészítő felhasználásával készült. Szoftveres oldalon real-time Linux kernel, Debian image (Debian-based Linux file system for drones), AMP flight stack található.

A hackster.io weboldalon pedig a részletes leírás a reprodukáláshoz.

Semmi pánik, az Apple tud róla. A cupertino-i cég tájékoztatása szerint iPhone 6s vagy iPhone 6s Plus készüléken, ha a felhasználó manuálisan állítja az időt, vagy megváltoztatja az időt miközben időzónák közt utazik, azt észlelheti, hogy az akkumulátor töltöttségi szint kijelzése nem frissül. Ilyen esetekben az alábbiakat lehet tenni:

A Neovim-ről már többször esett szó a HUP-on. A projekt 2014 elején indult. Akkor Thiago de Arruda (tarruda), elhatározta, hogy teljesen refaktorálja a Vim-et. 2015 közepére a visszajelzések szerint használható szintre jutott a projekt.

A rajongók örömére a Neovim hamarosan a Debian archívum (később azon keresztül pedig a leszármazottai) része lehet. James McCoy Debian karbantartó tegnap arról blogolt, hogy 9 hónappal azután, hogy saját tulajdonba vette a Neovim RFP-t (bugreport új szoftver Debianba csomagolására), taggelte és végül feltöltötte a Neovim-et a Debianba. Elsőként "experimental" kiadásként érkezhet...

A részletek itt olvashatók.

Szűkszavú, de érdekes bejelentés olvasható a Canonical Ubuntu Insight blogján arról, hogy az AT&T a Canonical-t és az Ubuntu-t választotta partneréül, eszközéül arra, hogy hálózatos és cloud terveit megvalósítsa. A partnerség keretében a Canonical biztosítja az Ubuntu operációs rendszert és a mérnöki támogatást az AT&T felhős, hálózati és vállalati szintű alkalmazásaihoz:

AT&T has selected Canonical to be part of its effort to drive innovation in the network and cloud. Canonical will provide the Ubuntu OS and engineering support for AT&T’s cloud, network and enterprise applications. AT&T chose Ubuntu based on its demonstrated innovation, and performance as the leading platform for scale-out workloads and cloud.

A bejelentés itt olvasható.

A decemberi RC1 kiadás után a ReactOS fejlesztői csendben elérhetővé tették a ReactOS 0.4.0 második kiadásra jelölt verzióját. Letölthető tesztelésre a SourceForge oldaláról.

Nem sokkal azután, hogy a fejlesztők számára elérhetővé tette az iOS 9.3 bétáját, az Apple kiadta a publikusan tesztelhető iOS 9.3 Public Beta 1-et a tesztelők számára. Telepítése legegyszerűbben OTA, a Settings -> General -> Software Update útvonalon lehetséges a megfelelő előkészületek után.

Főbb újdonságok:

Mike Hearn, senior Bitcoin fejlesztő, szakértő, szószóló, a Bitcoin Foundation Law & Policy bizottságának egykori elnöke egyik, tegnapelőtti blogbejegyzésben arról ír, hogy a Bitcoin egy bukott kísérlet, az alapok hibásak és bármi is történik az árfolyammal rövidtávon, a hosszútávú trend valószínűleg lefelé mutat. Éppen ezért a továbbiakban nem vesz részt a Bitcoin fejlesztésében és eladta az összes Bitcoin-ját.

But despite knowing that Bitcoin could fail all along, the now inescapable conclusion that it has failed still saddens me greatly. The fundamentals are broken and whatever happens to the price in the short term, the long term trend should probably be downwards. I will no longer be taking part in Bitcoin development and have sold all my coins.

Hearn indoklása hosszan elolvasható itt.

Ahogy az ilyenkor lenni szokott, vannak, akik nem értenek vele egyet. Részletek itt.