A 30 éves Free Software Foundation arra emlékeztet, hogy ma, szeptember 19-én ünnepeljük a 12. Software Freedom Day-t. Az FSF arra biztat bennünket, hogy az ünnepnap alkalmából küldjünk be szabad szoftverrel kapcsolatos hibabejelentéseket vagy új funkciókra, szolgáltatásokra irányuló kéréseket (feature request), illetve, ha így teszünk, akkor azt osszuk meg az FSF-fel például a Twitter-en keresztül.

Részletek a bejelentésben.

[ weboldal | megoldó algoritmus kódjának Python, C implementációja a GitHub-on ]

A hírhedt Stagefright sebezhetőséget szedte ízekre Mark Brand, a Google biztonsági csapatának, a Project Zero-nak tagja. A Google korábban több ízben is közölte, hogy a sebezhetőség kihasználása nem triviális az újabb Android verziókba épített mitigációs technikák, illetve az összeomlás esetén életbe lépő process respawn mechanizmus miatt. A "nem triviális" nem túl konkrét meghatározás. Mark Brand elemzésének köszönhetően most tisztulhat a kép:

The mediaserver process will respawn after a crash, and there is 8 bits of entropy in the libc.so base address. This means that we can take a very straightforward approach to bypassing ASLR. We simply choose one of the 256 possible base addresses for libc.so, and write our exploit and ROP stack assuming that layout. Launching the exploit from the browser, we use javascript to keep refreshing the page, and wait for a callback. Eventually memory will be laid out as we expect, bypassing ASLR with brute force in a practical enough way for real-world exploitation. [...] I did some extended testing on my Nexus 5; and results were pretty much as expected. In 4096 exploit attempts I got 15 successful callbacks; the shortest time-to-successful-exploit was lucky, at around 30 seconds, and the longest was over an hour. Given that the mediaserver process is throttled to launching once every 5 seconds, and the chance of success is 1/256 per attempt, this gives us a ~4% chance of a successful exploit each minute.

A teljes bejegyzés a technikai részletekkel itt olvasható.

A Red Hat Security Blog-on jelent meg egy figyelmeztetés azzal kapcsolatban, hogy a Red Hat illetéktelen behatolást vizsgált ki mind a Ceph közösségi projekt (ceph.com), mind az Inktank (download.inktank.com) szerverén. Az előzetes vizsgálat alapján arra jutottak, hogy a letöltésre kínált kódok (Red Hat Ceph Storage for Ubuntu and CentOS) integritása nem sérült, azokat nem piszkálták, de azt nem tudják jelenleg teljes mértékben kizárni, hogy a múltban valamikor nem szolgáltak ki ezek a szerverek kompromittált kódot.

Már bejárta a külföldi sajtót, álljon itt is. Van még mit fejleszteni a Cortana asszisztensen, hiszen még a fővezérnek sem sikerül rendesen munkára fogni. Satya Nadella tegnap a Dreamforce rendezvényen próbálta demózni a Cortana képességeit. Az asszisztens a "Show me my most at-risk opportunities" utasításra tejvásárlással kapcsolatos tippekkel szolgált...

További részletek itt.

A fenti videón látható, CVE-2015-3860 azonosítóval rendelkező Lockscreen bypass sebezhetőség egyes Android 5.x <= 5.1.1 készülékeket érint. A Google a hibát az LMY48M Nexus build-ben javította. A visszajelzések szerint számos készülékeken (pl. a CyanogenMod 12.1-eken, LG G4 Android 5.1, Samsung S5 / S6, Note 4) nem működik a fent bemutatott trükk.

Sebezhetőség idővonal:

Az Apple több publikus béta kiadás után végül elérhetővé tette az iOS 9-et. Letölthető OTA frissítésként a támogatott eszközökre.

Mark Dowd, az Azimuth Security alapítója egy súlyos sebezhetőséget fedezett fel az iOS 8.4.1 (és korábbi verziók), illetve az OS X egyik library-jában, amely lehetővé teszi a támadó számára, hogy tetszőleges fájlt írjon a célba vett eszközön. A sebezhetőség kihasználása kombinálva más technikákkal lehetővé teszi aláírt alkalmazás észrevétlen telepítését. A sebezhetőség abban az esetben használható ki, ha a felhasználó engedélyezi, hogy AirDrop-on keresztül bárkitől - nem csak a kontaktjaitól - fogadjon kapcsolatot.

A részletek itt olvashatók.

A magyar víz-, gáz- és áramszolgáltatók, illetve a csatornázási és a telekommunikációs vállalatok informatikai rendszereinek csupán 5 százaléka tudott védekezni külső támadások ellen az IT-biztonsággal foglalkozó Hunguard Kft. által végzett vizsgálat során.

A LibreItalia Association ma jelentette be, hogy az olasz hadseregnél gyakorlatilag folyamatban van a LibreOffice irodai programcsomagra és Open Document Format-ra (ODF) váltás. A migrációt a következő másfél évben hajtják végre. A hírek szerint az Olasz Védelmi Minisztérium mintegy 150 ezer desktop gépre telepíti majd a LibreOffice-t, így kialakítva Európa második legnagyobb LibreOffice implementációját.

A projekt októberben indul és valamikor 2016 végére zárul le. Az Európai Bizottság Joinup blogjának bejelentése itt olvasható.

Tavaly novemberben jelentette be indulását a non-profit, Let’s Encrypt nevű hitelesítés szolgáltató projekt. Ma közölték, hogy újabb mérföldkőhöz értek: kiadták első tanúsítványukat. Mivel a Let’s Encrypt még nincs benne (folyamatban van) a böngészőkben megbízható hitelesítés szolgáltatóként, azt jelenleg igény szerint kézzel kell telepíteni. Ha ez megtörtént, akkor a https://helloworld.letsencrypt.org/ figyelmeztetés nélkül betölthető.

A Let’s Encrypt ma elküldte jelentkezését a Mozilla, Google, Microsoft és Apple root programjaiba.

További részletek a bejelentésben.

[ tmux-resurrect ]

A BSD Now egy heti rendszerességgel megjelenő video podcast, amelynek célja a BSD operációs rendszerek népszerűsítése, illetve a már meglevő felhasználók friss BSD-s információkkal, hírekkel való ellátása. A BSD Now egyik műsorvezetője a PC-BSD alapító, vezető fejlesztő Kris Moore. Elérhető a BSD Now 106. epizódja, címe "Episode 106: Multipath TCP".

A Debian Installer Team nevében Cyril Brulebois bejelentette a Debian Installer 9 Alpha 3-at, azaz a kiadás előtt álló Debian 9 "Stretch" telepítőjének harmadik alpha változatát.

Részletek a bejelentésben.

A fordítócsapat örömmel jelenti be, hogy elkészült a Full Circle Magazin 91. számának magyar kiadása. A tartalomból:

Linus a hétvégén bezárta a beolvasztási időablakot és kiadta a 4.3-as kernel első kiadásra jelölt verzióját. Linus szerint minden normálisnak tűnik. A változások 70%-át driver, 10%-át architektúra, a fennmaradó 20%-át pedig mindenféle egyéb - főként fájlrendszer, hálózati, dokumentáció, core kernel - frissítések adják.

Részletek a bejelentésben.

Az OpenWrt fejlesztők tegnap kiadták az OpenWrt 15.05 (kódnevén "Chaos Calmer") végleges verzióját. Mivel volt egy felesleges 5 percem délután, úgy döntöttem, hogy megfrissítem az "ősrégi" TP-Link TL-WR1043N v1 (hw. ver. 1.5) routeremen futó, tavaly ősszel kiadott és mindjárt sebtiben fel is telepített OpenWrt 14.07 "Barrier Breaker"-t.

Ugyan a hardvereszközömhöz tartozó OpenWrt wiki oldalt még nem frissítették, de a korábbi letöltési linkből kisakkozható, hogy a jó pár Chaos Calmer változat közül melyik az, amelyiket érdemes flashelnem.

Letöltöttem az openwrt-15.05-ar71xx-generic-tl-wr1043nd-v1-squashfs-sysupgrade.bin fájlt, ellenőriztem a checksum-ját, majd csináltam a router aktuális állapotáról egy mentést a LuCI webes felület System -> Backup / Flash Firmware menüpontja alatt:

A magát "TOP Windows site"-ként aposztrofáló Windows Central weboldal szerkesztője egy meglehetősen kritikus hangvételű vezércikket szentelt a Windows Phone és a Windows Phone közösség jelenlegi helyzetének "From the Editor's Desk: Is the Windows Phone community imploding?" címmel.

A cikkben történelmi visszatekintés olvasható arról, hogy a Windows Phone hogyan jutott el idáig, hogyan csinált útközben a Microsoft három "reboot"-ot, hogy miért érzik úgy a Windows Phone felhasználók, hogy folyamatosan csak ígéretek jönnek, hogy miért várnak 18 hónapja egy zászlóshajó telefonra, hogy vajon a Cityman és Talkman zászlóshajó telefon lesz-e, hogy van-e még kitartás a közösségben.

A cikk elolvasható itt.

 _______                     ________        __
 |       |.-----.-----.-----.|  |  |  |.----.|  |_
 |   -   ||  _  |  -__|     ||  |  |  ||   _||   _|
 |_______||   __|_____|__|__||________||__|  |____|
          |__| W I R E L E S S   F R E E D O M
 -----------------------------------------------------
 CHAOS CALMER (15.05)
 -----------------------------------------------------
  * 1 1/2 oz Gin            Shake with a glassful
  * 1/4 oz Triple Sec       of broken ice and pour
  * 3/4 oz Lime Juice       unstrained into a goblet.
  * 1 1/2 oz Orange Juice
  * 1 tsp. Grenadine Syrup
 -----------------------------------------------------

Router buherátorok legnagyobb örömére az OpenWrt fejlesztői csapat nevében Steven Barth bejelentette, hogy elérhető a nyílt forrású OpenWrt router firmware 15.05-ös verziója. Az új OpenWrt kiadás a hagyományoknak megfelelően egy koktélról, jelen esetben a Chaos Calmer-ről kapta kódnevét (recept fent).

Főbb változások a Barrier Breaker óta:

Greg Schenzel aláírásgyűjtésbe kezdett annak érdekében, hogy meggyőzze a Wind River-t, hogy itt az ideje a BSD/OS 5.1 forráskódja kiadásának. A petíció szerint a BSD/OS már egy évtizede megszűnt termékként létezni, így a Wind River megtehetné azt a szívességet, hogy a kódot átadja annak a nyílt forrású közösségnek, amelytől megannyi támogatást kapott.

Eddig a Wind River levélben és telefonon történő megkeresései nem vezettek eredményre, így az aláírók abban reménykednek, hogy a petíció hatására a Wind River jobb belátásra tér.

A petíciót eddig 22-en írták alá.

"Ákos, mi a sz@r van a csuklódon?" - ezzel a kérdéssel indult nálam a Xiaomi Mi Band aktivitásmérő iránti érdeklődés. Ákos a munkatársam, aki beszerzett egy ilyen eszközt és összepárosította az iPhone-jával. Elmondta, hogy mire való. Egy-két hétnyi használat után jókat mondott róla, így eldöntöttem, hogy én is belepillantok az fitness band-ek világába. Mivel a Xiaomi Mi Band a legolcsóbb eszközök közé tartozik (itthon 9 ezer forint körül lehet hozzájutni 1 év garanciával, de Kínából már majdnem a feléért is), nem volt túl nagy rizikó a beszerzésében.

Éppen egy hete használom éjjel-nappal, így összegyűlt némi tapasztalat az eszközzel kapcsolatban. Az alábbiakban ez olvasható.

Debarshi Ray blogbejegyzése szerint újabb mérföldkőhöz érnek a GNOME felhasználók a GNOME 3.18-cal: 6 évnyi munka eredményeként a GNOME felhasználók kedvenc GNOME alkalmazásaikból hozzáférhetnek a Google Drive-jukhoz.

Részletek a blogbejegyzésben.

Most, hogy közeledik az iOS 9 kiadása (szeptember 16.) az Apple már a 9.1 teszteltetésére fókuszál. Ennek megfelelően az Apple Beta Program résztvevői elkezdhetik kompatibilis készülékeiken tesztelni az iOS 9.1 első publikus bétáját. Benne egy rakás új Emoji karakter, például az eddig rendkívüli mód hiányzott középső ujj, vagy körömlakkozás.

Telepítése legegyszerűbben OTA, a Settings -> General -> Software Update útvonalon lehetséges a megfelelő előkészületek után.