Malicious PyPI package opens backdoors on Windows, Linux, and Macs - @billtoulashttps://t.co/hZgy1DwZKn

— BleepingComputer (@BleepinComputer) May 21, 2022

Újabb rosszindulatú Python csomagot fedeztek fel a PyPI-ben, a Python hivatalos 3rd party szoftvertárolójában. Május 17-én töltötték fel a támadók a tárolóba a pymafka nevű csomagot, ami nevében erősen hasonlít a széles körben használt PyKafka csomaghoz. Használói gépén, függően az operációs rendszer típusától (Windows, Linux, Darwin), a csomagban található setup.py script rosszindulatú tevékenységbe kezd: az internetről reverse shellt, Cobalt Strike beacon-t stb. tölt le. Részletek itt.

Another unexpected discovery from the archives of a 90s warez BBS! 🏴‍☠️ Now a native Linux port of Lotus 1-2-3 is finally possible -- 32 years after it's release! 😆https://t.co/PyQeddNbNe pic.twitter.com/5tTStBBs7u

— Tavis Ormandy (@taviso) May 21, 2022

A Google P0 csapattag Tavis Ormandynak BBS warez archívumok feltúrása, reverse engineering stb. után sikerült portolnia a proprietary Lotus 1-2-3 táblázatkezelőt Linuxra. A Lotus 1-2-3 32 évvel ezelőtt került kiadásra, akkor, amikor a Linux még nem is nagyon létezett. Most, három évtizeddel később natívan fut Linuxon. Gyakorlati haszna nyilván nem sok van, sportértéke azonban vitathatatlan.

A modern CPU-k modell-specifikus regisztereiről (MSR) már korábban is ismert volt, hogy meglehetősen szelektíven dokumentáltak. A gyártók a regiszterek egy részét közzéteszik a CPU architektúra programozási útmutatóban, ezzel lehet bizonyos CPU feature-öket, egyes utasítások támogatását, vagy különféle teljesítménynövelő megoldásokat ki-be kapcsolni. Viszont sokszor ezen regiszterek egyes bitjei is "Reserved", "Unused" és hasonló jelzőkkel vannak ellátva, másrészt találtak már korábban is olyan MSR-eket amik teljesen hiányoztak a dokumentációból.

Ennek kapcsán az első igazán nagy horderejű eredmény Cristopher Domas nevéhez fűződik, aki a Via C3 processzorokban szándékosan beépített backdoort fedezett fel, ezidáig ez az egyetlen eset, amikor egy processzor biztonsági hibája minden kétséget kizáróan szándékosan került beépítésre. A hátsó ajtó aktiválásához dokumentálatlan MSR-eket kellett meghatározott módon felprogramozni. A munka kulcsfontosságú része ezek felderítése volt.

Nemrég a Grazi Műszaki Egyetem (Daniel Gruss kutatócsoportja - a nevük ismert lehet a Spectre és Meltdown sebezhetőségről) valamint a Helmholtz számítógépes biztonsági kutatóközpont és az Amazon AWS egy kutatója publikáltak egy új módszert a rejtett MSR-ek felderítésére: Finding and Exploiting CPU Features using MSR Templating címmel.

A munka számos eredménnyel járt, a szokásos új támadási módszereken túl kivételesen új védekezési lehetőséget is találtak: egyes dokumentálatlan MSR-eket már ismert sebezhetőségek hatástalanítására is fel lehet használni, ráadásul - a méréseik szerint - szinte észrevehetetlen teljesítményvesztés árán.

Hp-Pop Hooray! Check out https://t.co/gf2brjjUl8

— Carl Richell (@carlrichell) May 20, 2022

Carl Richell, a Linux alapú laptopjairól, desktopjairól és szervereiről ismert amerikai számítógép építő cég, a System76 alapító-vezérigazgatója a Twitteren jelentette be, hogy a HP a Pop!_OS nevű, Ubuntu alapú Linux terjesztésüket választotta a fejlesztőknek szánt HP Dev One laptopja operációs rendszerének. A laptop specifikációja:

Lazarus 2.2.2 released - https://t.co/ArH7yLNFRJ #pascal #freepascal #ide #programming #gpl

— HUP (@huphu) May 20, 2022 #onhup

Megjelent a (Free) Pascal-hoz használható, Delphi-kompatibilis, keresztplatformos, nyílt forráskódú és szabad szoftver Lazarus integrált fejlesztői környezet 2.2.2-es kiadása. Bejelentés itt.

The @Synacktiv team shows off their remote exploit of the #Tesla Model 3. Earlier today, this research earned them $75,000 during #Pwn2Own. pic.twitter.com/PZDCcJJvcE

— Zero Day Initiative (@thezdi) May 20, 2022

Ilyen az, amikor távolról a Tesla motorháztetejét kinyitják, ablaktörlőjét elindítják stb. ☝‍️

Oracle #Linux 8 Update 6 - https://t.co/LaLV6Nc1xy pic.twitter.com/DvAUWqUMuj

— HUP (@huphu) May 20, 2022

A RHEL 8.6 után megérkezett a forráskódjaira épülő Oracle Linux 8.6 is x86_64 és aarch64 platformokra. Részletek a bejelentésben.

KDE releases today Plasma 5.25 Beta. This version of KDE's desktop environment is released for testing purposes and not advised for production use or as a daily driver. The final release will happen on June 14.https://t.co/p39tM5Lvcf pic.twitter.com/DueBeIUqqN

— KDE Community (@kdecommunity) May 19, 2022

Tesztelhető a KDE Plasma (KDE desktop) 5.25-ös kiadásának bétája. Bejelentés itt.

News: PostgreSQL 15 Beta 1 Released! https://t.co/djGCfLfS7R

— PostgreSQL (@PostgreSQL) May 19, 2022

Tesztelhető a népszerű, nyílt forráskódú adatbázis-kezelő, a PostgreSQL 15-ös kiadásának első bétája. Az újdonságokról a kiadási megjegyzések dokumentum ad tájékoztatást. Bejelentés itt.

Az elmúlt 10 évben az alkalmazások új verziójának automatikus telepítése egy nagyon nagy fejlődésen ment keresztül.

A fent említett jelenségre szokás CI/CD-ként hivatkozni, ami egy kicsit félrevezető elnevezés, mert már rögtön három folyamatot foglal magába: Continuous Integration (CI), Continuous Delivery (CD) és Continuous Deployment (szintén CD). Megyesi Péter (LeanNet) a HWSW free! meetup-sorozat novemberi CI/CD tematikájú állomásán elhangzott és alább megtekinthető előadásában bemutatta, honnan eredetek ezek a rendszerek, hogyan szokás őket használni, és mit tekintünk manapság state-of-the-art-nak.

Érdekel a téma? Gyere el a HWSW következő ingyenes CI/CD meetupjára vagy a modern CI/CD alapjait bemutató online képzésére, ahol Péter vezetésével tanulhatsz.

Az openSUSE Leap Micro egy "ultramegbízható, pehelysúlyú operációs rendszer", amelyet kifejezetten konténerizált és virtualizált redszerek kialakításához fejlesztenek. Megjelent a openSUSE Leap Micro 5.2-es kiadása. Részletek a kiadási megjegyzések dokumentumban. Letölthető innen.

Confirmed! And for our last confirmation of the day, Keith Yeo (@kyeojy) scored a full win with a Use-After-Free exploit on Ubuntu Desktop, earning $40K and 4 Master of Pwn points. That means that ALL attempts on Day 1 of #Pwn2Own 2022 were successful! pic.twitter.com/uY28om378H

— Zero Day Initiative (@thezdi) May 19, 2022

Teljes fordulatszámon pörög a Zero Day Initiative (ZDI) népszerű, biztonsági szakemberek számára szervezett "törjünk fel mindent, amit csak tudunk komoly pénzdíjakért és dicsőségpontokért" vetélkedője, a Pwn2Own:

Microsoft: A Windows 11 készen áll a széles körű bevezetésre - https://t.co/kkQa7HYqh5 pic.twitter.com/qbP8MBpsJD

— HUP (@huphu) May 19, 2022 #onhup

A Windows 11 készen áll a széles körű bevezetésre – jelentette be a Microsoft a kiadás állapotával kapcsolatos információs oldalán. Ez azt jelenti, hogy bárki, akinek olyan számítógépe van, amely megfelel a Windows 11 minimális követelményeinek, biztonságosan telepítheti azt. A Microsoft szerint azonban bizonyos eszközökön továbbra is érvényben maradhatnak a frissítést blokkoló védelmek (safeguard holds).

macOS Monterey 12.4 update is live!

Apple also released 👇
📱✅
iOS 15.5
iPadOS 15.5
tvOS 15.5
audioOS 15.5
watchOS 8.6
💻 ✅
Big Sur 11.6.6
Catalina 2022-004
Xcode 13.4
Mobile Device Update
Xcode Command Line Tools 13.4
Apple Studio Display 15.5 Firmwarehttps://t.co/JG5rPu6LTN

— Mr. Macintosh (@ClassicII_MrMac) May 16, 2022

További részletek ebben a Twitter szálban.

Amikor az iPhone-t a tulajdonosa kikapcsolja, az nem kapcsol ki teljesen, a legtöbb vezetéknélküli kapcsolatot biztosító chip bekapcsolva marad. Például, egy a felhasználó által kezdeményezett leállítás (shutdown) után az iPhone továbbra is felfedezhető, helyzete továbbra is meghatározható a Find My-on keresztül. A Darmstadti Műszaki Egyetem kutatói megtalálták a módját annak, hogy kihasználják a mindig bekapcsolt állapotot és olyan malware-t futtassanak, amely akkor is működik, amikor a készülék (látszólag) ki van kapcsolva. Részletek a "Evil Never Sleeps: When Wireless Malware Stays On After Turning Off iPhones" dokumentumban. A teljes tanulmányt az ACM WiSec 2022 konferencián, a vezeték nélküli és mobilhálózatok biztonságáról és adatvédelméről tartott 15. ACM konferencián a mutatják be 2022. május 16. és május 19. között.

3-2-1... Launch! #Inkscape 1.2 is live! Head here for the details and to see the launch video: https://t.co/tFnyeXQuJZ #colalboration #FOSS pic.twitter.com/hNc86WI42f

— Inkscape (@inkscape) May 16, 2022

Megjelent a szabad és nyílt forráskódú vektorgrafikus szerkesztőprogram, az Inkscape 1.2-es kiadása. Az 1.2 az Inkscape legfrissebb major kiadása. Újdonságok:

Megjelent az iOS 15.5. Az újdonságok listája fenti videóban ☝‍️

Rocky Linux 8.6 has been released! 🚀

Please see our announcement at https://t.co/vDoIVc0Ceu for more details.

Come celebrate the release with us on https://t.co/2VDvwlLFGl! 🎉

— Rocky Linux (@rocky_linux) May 16, 2022

Megjelent a RHEL forráskódjaiból felépülő, azzal bináris-kompatibilis másik CentOS-helyettesítő Linux disztribúció, a Rocky Linux 8.6-os kiadása. Elérhető x86_64 és aarch64 architektúrákra. Részletek a bejelentésben.

#FreeBSD 13.1-RELEASE Now Available:https://t.co/TNPDPMzkkw

— FreeBSD RE Team (@FreeBSD_RE) May 16, 2022

Hivatalosan megjelent a FreeBSD 13.1 kiadás. A bejelentés itt olvasható.

Arm CPU ran on electricity generated by algae for over six months https://t.co/iMUmVnNx41

— The Register (@TheRegister) May 16, 2022

Fenntartható, megfizethető és decentralizált elektromos energiaforrásokra van szükség az IoT eszközök hálózatának működtetéséhez. Egyetlen ilyen eszköz energiafogyasztása szerény, μW-tól mW-ig terjed, de az IoT eszközök száma már elérte a sok milliárdot, és 2035-re várhatóan ezermilliárdra fog növekedni, amihez hatalmas számú hordozható energiaforrásra lesz szükség. Az akkumulátorok nagyrészt drága és nem fenntartható anyagokra (pl. ritkaföldfém elemekre) támaszkodnak és a töltésük idővel lemerül. A meglévő energiagyűjtők (pl. napenergia, hőmérséklet, vibráció) hosszabb élettartamúak, de káros hatással lehetnek a környezetre (pl. veszélyes anyagokat használnak gyártásaik során). Itt egy olyan bio-fotovoltaikus energiagyűjtő rendszert írunk le, amely fotoszintetikus mikroorganizmusokat használ alumínium anódon és amely képes táplálni egy Arm Cortex M0+ mikroprocesszort, amely IoT területen széles körben használt mikroprocesszor. A javasolt energiagyűjtő több mint hat hónapig üzemeltette az Arm Cortex M0+-t otthoni környezetben, környezeti fény mellett. Méretében egy AA elemhez hasonlítható, általános, tartós, olcsó és nagyrészt újrahasznosítható anyagok felhasználásával készült.

5.18-rc7: mainline Version: 5.18-rc7 (mainline) Released: 2022-05-16 Source: linux-5.18-rc7.tar.gz Patch: full ( incremental ) https://t.co/92ScQXt9Ou #linux #kernel

— Linux Kernel Releases (@LinuxKReleases) May 16, 2022

Megjelent az 5.18-as Linux kernel hetedik és egyben nagy eséllyel utolsó kiadásra jelölt verziója. Részletek Linus levelében:

Download: OnePlus Nord is getting its stable Android 12 update with OxygenOS 12 https://t.co/wCRYeo56Ar

— XDA (@xdadevelopers) May 14, 2022

A türelmetlenek már nekiállhatnak letölteni, akik inkább a konzervatívabb megközelítést preferálják egy major verzió váltásnál (szopjon vele más az első napokban), az várhat, míg a fokozatosan terítésre kerülő OTA megérkezik a készülékére. Részletek a bejelentésben.