SOP bypass / UXSS – Stealing Credentials Pretty Fast (Edge)

 ( trey | 2017. május 12., péntek - 8:01 )

A brokenbrowser.com mögött álló argentin biztonsági szakértő, Manuel Caballero egy újabb szórakoztató Microsoft Edge hiba kihasználását tette közzé:

Idézet:
Today we are going to steal Twitter and Facebook credentials from the user. We did this a few weeks ago, but Charles -our fictional user- has updated Microsoft Edge and changed his password, so he thinks he’s safe now. Charles does not know that the previous two SOP bypasses [1] [2] were not patched and this new one is easier and faster!

[...]

The vulnerability that follows describes how to steal the credentials and cookies from people using Microsoft Edge, and, if they are using the default password manager we will be able to steal them in plain-text pretty fast.

LibreOffice 5.3.3

 ( trey | 2017. május 11., csütörtök - 15:08 )

Megjelent a LibreOffice 5.3.3-as verziója. Benne több mint 70 hibajavítás és interoperabilitást javító patch. Részletek a bejelentésben.

... rendszergazda vagyok.

 ( trey | 2017. május 11., csütörtök - 12:03 )
Linux
21% (113 szavazat)
Windows
2% (8 szavazat)
UNIX (Solaris, AIX, HP-UX stb.)
2% (12 szavazat)
Heterogén (Windows, Linux, UNIX stb. vegyesen) környezet
26% (139 szavazat)
Egyéb (leírom)
2% (9 szavazat)
Nem vagyok rendszergazda, egy sajt vagyok stb.
39% (204 szavazat)
Csak az eredmény érdekel.
8% (41 szavazat)
Összes szavazat: 526

Cinnamon 3.4

 ( trey | 2017. május 10., szerda - 17:43 )

Clement "Clem" Lefebvre, a Linux Mint disztribúció és a Cinnamon desktop környezet vezető fejlesztője csapata nevében tegnapelőtt bejelentette a Cinnamon 3.4-es kiadását. Újdonságok:

  • Support for mozjs38 (CJS 3.4 uses mozjs38, CJS 3.2 uses mozjs24, Cinnamon 3.4 is compatible with either CJS 3.4 or CJS 3.2)
  • Support for additional Wacom devices (in particular, devices with no erasers or with only one button)
  • Multi-process Settings Daemon (each plugin now runs in its own separate process)
  • Cleaner session EXIT phase (this phase used to timeout after 1 seconds, it is now immediate)
  • Desktop grid
  • Separate processes for Nemo and the desktop handling
  • Simpler date formats for last-modified column in list-view
  • Wildcard support in file searches
  • Desktop actions in panel launcher
  • Ala Firefox support for middle-click and Ctrl key in Nemo navigation buttons to open new tabs
  • Theming engine improvements for systray and margins
  • Additional configuration options for the screensaver
  • New list widget for spices settings
  • More information shown in spices about dialogs
  • Support for lightdm-settings and manage-systemd-units in System Settings
  • File manager (inode/directory MIME handler) selection in Favorite Applications
  • Better support for the configuration of mice acceleration and sensitivity

Részletek a bejelentésben.

NVIDIA Linux, Solaris és FreeBSD driver 381.22

 ( trey | 2017. május 10., szerda - 14:14 )

Az NVIDIA Linux Graphics csapat részéről Aaron Plattner bejelentette proprietary eszközmeghajtó programjuk 381.22-es verzióját Linux, Solaris és FreeBSD rendszerekhez.

Az OpenBSD közösség a The OpenBSD Foundation arany fokozatú támogatójává vált 2017-ben

 ( trey | 2017. május 10., szerda - 13:11 )

Az OpenBSD projekt mögött álló The OpenBSD Foundation-t nem csak nagy cégek, hanem a közösség is támogatja. A közösség tagjaitól érkező adományok ebben az évben már akkora összeget tettek ki, amellyel a közösség - 2017 elsőként - az alapítvány arany fokozatú támogatójává vált. Az alapítvány reméli, hogy a közösség a 2016-os évhez hasonlóan idén is eljut az Iridium (100 000 dollár vagy több) támogatói szintre.

Ezzel azonban az alapítvány még messze van a 2017-re kitűzött céljától, a 300 ezer dollártól.

Adományozni lehet itt.

Az Európai Beruházási Bank 25 millió euróval támogatja a MariaDB fejlesztését

 ( trey | 2017. május 10., szerda - 12:35 )

Az Európai Bizottság bejelentette, hogy az Európai Beruházási Bank (EBB) 25 millió euróval segíti a nyílt forrású MariaDB fejlesztését. Ez az első alkalom, hogy az EBB finanszírozza a MariaDB-t. Részletek a bejelentésben.

[Video] Működés közben a Google kísérleti okostelefon OS-ének GUI-ja

 ( trey | 2017. május 9., kedd - 9:17 )

Mint az jó ideje ismert a HUP rendszeres olvasói előtt, a Google egy új, kísérleti állapotban levő mobil OS-en dolgozik Fuchsia néven. Az új OS szakít a Linux kernellel és a GPL-lel. Helyette egy saját fejlesztésű, Magenta mikrokernelt használ. A Fuchsia új felhasználói felületet is kap. Ennek neve Armadillo. Részletek itt.

OpenWrt és LEDE újraegyesítési javaslat

 ( trey | 2017. május 9., kedd - 8:47 )

Az OpenWrt és annak nem is oly rég létrejött forkja, a LEDE újraegyesülhet. Ennek érdekében múlt héten több telefonhívást is lebonyolítottak az érdekelt felek. A több órás beszélgetések főbb pontjaiból egy újraegyesítési javaslat született. A főbb témák közt található a branding, domain, github, git repók, wiki / fórum, levelező lista stb. kérdése.

[Frissítve] Tavis Ormandy - a közelmúlt legrosszabb távoli Windows kódfuttatása

 ( trey | 2017. május 8., hétfő - 22:35 )

A Google Project Zero tag Tavis Ormandy és kollégája, Natalie Silvanovich egy olyan távoli, féregírásra alkalmas Windows kódfuttatást fedezett fel, amit csak úgy jellemeztek, hogy a közelmúlt legrosszabbja. Részletek itt.

Mennyire voltál rossz gyerek általános és középfokú oktatásod során?

 ( carlcolt | 2017. május 8., hétfő - 13:53 )
Semennyire, magatartás végig 5-ös
16% (70 szavazat)
Magatartás 4-es becsúszott, figyelmeztetve nem voltam
18% (82 szavazat)
Volt egy szaktanárim
3% (13 szavazat)
Volt több szaktanárim
3% (14 szavazat)
Volt egy osztályfőnökim
9% (41 szavazat)
Volt több osztályfőnökim
14% (61 szavazat)
Volt egyszer igazgatóim
17% (75 szavazat)
Több igazgatóit is kaptam, de fegyelmi tárgyalásom nem volt
9% (42 szavazat)
Fegyelmi tárgyalásom után maradhattam az iskolában
5% (21 szavazat)
Volt, hogy el kellett hagynom az adott iskolát magatartásbeli problémák miatt
2% (11 szavazat)
Halmazelméleti kivétel vagyok a szavazás opciói alól (pl. külföldön tanultam, autista intézetben más rendszer volt stb.)
4% (17 szavazat)
Összes szavazat: 447

Big Data Universe Conference 2.0 - Budapest

 ( trey | 2017. május 8., hétfő - 12:37 )

2017. május 18-án tartják Budapesten a Big Data Universe Conference 2.0-t. A helyszín: Budapest, Akvárium Klub. A rendezvény ingyenesen látogatható, de regisztrációhoz kötött. VIP jegyek kaphatók. Részletek a rendezvény honlapján és az Eventbrite oldalán.

Teljes MP3 (encoder és decoder) támogatás érkezik a Fedora-ba

 ( trey | 2017. május 7., vasárnap - 11:36 )

Mivel a Technicolor és a Fraunhofer IIS befejezettnek tekinti MP3 licencelési programját, a Red Hat jogi csapata zöld utat adott a Fedorának a full MP3 támoogatással kapcsolatban.

Részletek itt.

Devuan Jessie 1.0.0 RC2

 ( trey | 2017. május 7., vasárnap - 10:43 )

Elérhető tesztelésre a systemd-mentes Debian fork, a Devuan 1.0.0-s kiadásának második RC-je. Részletek a bejelentésben.

Még pár napig lehet licitálni az egyetlen hivatalos OpenBSD 6.1-es CD-készletre

 ( trey | 2017. május 7., vasárnap - 9:01 )

Hivatalos OpenBSD 6.1 CD-készlet - az egyetlen

Az OpenBSD projekt befejezte a CD-s kiadások terjesztését. Az OpenBSD 6.1 már úgy jelent meg, hogy nem lehetett CD-n megrendelni. Mindössze egyetlen aláírt CD-készlet készült, amelynek artwork-jét személyesen Theo de Raadt, a projekt alapítója készítette. Erre a készletre az eBay-en lehet licitálni még pár napon keresztül. A licit jelenleg 1 055 445 HUF értéken áll. Licitálni május 13-ig lehet itt.

Ubuntu Hour május

 ( gyarakilaszlo | 2017. május 7., vasárnap - 9:00 )

Időpont: 2017. május 12. (péntek)

BUDAPEST
Kezdés: 18.00 óra
Helyszín: A Grund Bazsesz terem (Budapest, VIII. Nagytemplom utca 30.)
Téma: Ubuntu Lecture Meetup (a pécsi rendezvény vetítése felvételről)
Megközelítés: Corvin negyedtől 8 perc, Klinikák megállótól 5 perc séta.

MISKOLC
Kezdés: 18.00 óra
Helyszín: Avasi Sörház (Miskolc, Meggyesalja u. 1.)
Téma: Fejlesztés Ubuntu Linuxon
Megközelítés: a Városház tértől az Avasi kilátó irányába 2 percnyi séta

A rendezvények mindenki számára ingyenesek.

Debian 8.8

 ( trey | 2017. május 6., szombat - 19:41 )

pfSense 2.3.4

 ( trey | 2017. május 6., szombat - 18:55 )

Megjelent a FreeBSD-alapú tűzfal megoldás 2.3.4-es kiadása. Részletek a bejelentésben.

StarWind Virtual Storage Appliance Linux edition

 ( trey | 2017. május 6., szombat - 16:04 )

A virtualizációs körökben forgolódók által minden bizonnyal jól ismert StarWind nemrég bejelentette, hogy tradicionálisan Windows-alapú megoldását az piaci trendeknek és az ügyfeleiktől érkező óriási érdeklődés miatt Linux alapokra helyezi. Ezzel az ügyfelek egyebek mellett megspórolhatják a Windows licenc árát.

A StarWind Virtual Storage Appliance (VSA) egy Linux-alapú virtuális gép, amin előtelepítve megtalálható a StarWind Virtual SAN szoftver. A VSA támogatja az összes nagyobb hypervisor-t: Hyper-V, ESXi, Xen, KVM. A kezelése webes felületen keresztül lehetséges. Ezen túlmenően a VMware adminok egy vCenter plugint is kapnak a menedzsmenthez. A StarWind megoldása elérhető ingyenes és fizetős változatban is. A kettő változat közt a különbség főként a támogatásban van (az ingyenesnél ez közösségi stb., míg a fizetősnél értelemszerűen van support). Funkcionalitásban kevés olyan funkció van, amit az ingyenes ne tudna. Az ingyenes és a fizetős verzió összehasonlítása itt.

Az új StarWind Virtual Storage Appliance április 26-án jelent meg. Részletek a bejelentésben. Letölthető innen elindulva.

Videók:

Szakértők hosszú évek óta mondogatják, hogy a SMS-re épülő 2FA problémás ... itt az élő példa

 ( trey | 2017. május 5., péntek - 9:07 )

Számos bank használja előszeretettel a SMS-re épülő kétfaktoros autentikációt, annak ellenére, hogy szakértők régóta mondogatják, hogy kijátszható. A működése egyszerű: az ügyfél megadja bankja weboldalán stb. a belépési adatait, a bank küld egy megerősítő kódot tartalmazó SMS-t az ügyfél korábban regisztrált telefonszámára, az ügyfél ezt a kódot visszagépeli a bank weboldalán, így azonosítva magát második lépcsőben. Az elgondolás jó, de vannak vele gondok.

A probléma a kommunikációs láncban jelen levő Signaling System 7 protokollal van. A probléma régóta ismert, de javítása, lecserélése mégis várat magára. Pedig sürgős lenne, főleg azután, hogy élő példa akadt a kihasználására.

A német O2-Telefonica elismerte a Süddeutsche Zeitung-nak, hogy egyes ügyfeleik bankszámláját megcsapolták az SS7 hibáját kihasználva. A támadók az SS7 hibáját kihasználva elfogták a bank által az ügyfélhez küldött SMS-eket. Természetesen az SMS-ek önmagukban nem lettek volna elegendőek ehhez a mutatványhoz. Az is kellett hozzá, hogy a támadók az áldozatok egyéb belépési adatait előzőleg megszerezzék egyéb, jól ismert módokon (pl. levélben küldött malware-en keresztül).

További részletek itt.

A Qualcomm betiltatná az iPhone Amerikába irányuló importját

 ( gee | 2017. május 5., péntek - 9:06 )

Az Apple vitatni kezdte, hogy fizetnie kell-e azt a több milliárd dolláros licenchasználati díjat, ami minden nagy sebességű adatátvitelre képes okostelefon eladása után jár a Qualcommnak, attól függetlenül, hogy a készülék a cég által gyártott csipeket használja-e. Az Apple szerint a rendszer nem fair és a Qualcomm szabálytalanul használja fel az így szerzett bevételét. Múlt hónapban az Apple úgy döntött, hogy nem fizet tovább, bár a jogi vitában még nem született döntés.

A cikkben idézett elemző szerint a Qualcomm nem teheti meg, hogy ezt szó nélkül hagyja, mert ezzel felbátorítaná a többi okostelefon gyártót, hogy hasonlóan járjon el és ez a Qualcom legjövedelmezőbb üzletágát veszélyeztetné. Ezért a Qualcomm a Nemzetközi Kereskedelmi Bizottsághoz (International Trade Commission) fordult, hogy az tiltsa meg az Ázsiában összeszerelt iPhone Amerikába irányuló importját.

Részletek itt.

Jellemzően milyen módon rendezed a számláidat?

 ( Adamyno | 2017. május 5., péntek - 7:46 )
Elektronikusan, mobil eszközön (telefon, táblagép stb.) - és kinyomtatom
0% (0 szavazat)
Elektronikusan, mobil eszközön (telefon, táblagép stb.) - nem nyomtatok
12% (46 szavazat)
Elektronikusan, asztali gépen, laptopon stb. - és kinyomtatom
2% (7 szavazat)
Elektronikusan, asztali gépen, laptopon stb. - nem nyomtatok
49% (188 szavazat)
Elektronikusan jön, bank vonja megbízással
16% (62 szavazat)
Papíron jön, bank vonja megbízással
3% (10 szavazat)
Papíron jön, de elektronikusan fizetek
6% (22 szavazat)
Papíron jön, csekken is fizetek
7% (26 szavazat)
Egyéb (nincsenek számláim, nem fizetek, leírom hsz-ben, csak a válasz érdekel stb..)
6% (22 szavazat)
Összes szavazat: 383

W10 S FAQ: "Van-e bármilyen alapértelmezés a Windows 10 S PC-men amit nem tudok megváltoztatni?"

 ( trey | 2017. május 4., csütörtök - 19:30 )

Windows 10 S FAQ írta:

Are there any defaults that I cannot change on my Windows 10 S PC?

Yes, Microsoft Edge is the default web browser on Microsoft 10 S. You are able to download another browser that might be available from the Windows Store, but Microsoft Edge will remain the default if, for example, you open an .htm file. Additionally, the default search provider in Microsoft Edge and Internet Explorer cannot be changed.

Leszállították a negyedmilliomodik Pi Zero W-t

 ( trey | 2017. május 4., csütörtök - 10:28 )

A Raspberry Pi projekt bejelentette, hogy a bejelentése után alig 9 héttel, ezen a héten leszállítják a 250 ezredik Pi Zero W-t. Továbbá, ennek örömére 13 új taggal bővítik a Raspberry Pi Zero disztribútorok listáját. Részletek a bejelentésben.