Участник GitHub Security Lab Kevin Backhouse обнаружил уязвимость в Polkit, которая впервые появилась семь лет назад в коммите bfa5036 и с версией 0.113 попала в некоторые дистрибутивы. Она позволяет непривилегированному локальному пользователю получить права root в системе, приложив для этого минимальные усилия. Уязвимости подвержены любые дистрибутивы с установленной версией Polkit 0.113 (или более поздней). Например, такие популярные, как RHEL 8 и Ubuntu 20.04. Уязвимость была устранена 3 июня 2021 года.

Как пишет Kevin Backhouse, уязвимость очень просто эксплуатируется, для этого достаточно простых инструментов: bash, kill, и dbus-send. Кроме них, для своей статьи (PoC exploit) он так же использовал accountsservice и gnome-control-center, которые можно найти на многих системах с GUI. Следует заметить, что accountsservice и gnome-control-center не содержат уязвимость и являются просто клиентами для Polkit.

Собственно уязвимость активируется с помощью команды dbus-send (т.е. простой отправки сообщения через шину D-Bus), которую нужно завершить во время, пока Polkit ещё обрабатывает запрос. Теоретически, можно нажать Ctrl + C на клавиатуре в нужный момент, однако Kevin Backhouse не смог продемонстрировать именно такой вариант.

( читать дальше... )

>>> Подробности

Вышло обновление video2midi – кроссплатформенной утилиты, предназначенной для воссоздания многоканального midi-файла из видеороликов в которых присутствует виртуальная midi-клавиатура/нотный лист аналогичный синтезии.

Основные изменения с версии 0.4.0.2:

• Добавлена ​​функция RollCheck, используется для улучшения считывания нажатия нот ( отсеивания ложных срабатываний на чёрных клавишах ), что помогает улучить реконструкцию midi с гибридных видео, где нотный лист отображён с ситнезии а клавиши затёрты реальным пианино.

• Добавлен ползунок в дополнительное окно для управления высотой вертикальных линий клавиш, что позволяет более точно позиционировать клавиши относительно видео.

• Добавлен ползунок для регулировки относительного положения черных клавиш.

• Добавлена ​​возможность определять повторное нажатие/отпуск клавиш по искрам. В некоторых видео многократное нажатие клавиш отображается на виртуальной клавиатуре длительным удержанием клавиш.

• Изменен тип midi формата по умолчанию на 0 (старый тип по умолчанию 1).

• Добавлена ​​возможность указать выходной формат файла midi. Не все DAW могут разделять многоканальные midi типа 1 при импорте. Поэтому, если ваша DAW импортирует многоканальные MIDI-файлы как одноканальную дорожку, попробуйте поиграться с выходным MIDI-форматом.

• Добавлена ​​новая функция квантования нот по времени (привязка к сетке 1/32).

• Внесены изменения в графический интерфейс, переработан код отвечающий за работу кнопок и ползунков.

>>> Подробности

Состоялся выпуск новой версии окружения рабочего стола KDE Plasma, в которой, благодаря очистке и рефакторингу кода, повышена надёжность и стабильность.

Plasma 5.22 стала более приятной в использовании благодаря улучшенному дизайну, большей плавности и согласованности прозрачности, размытия, значков и анимации.

( читать дальше... )

>>> Подробности

Жаркие летние деньки возвращаются! И GOG позаботился о том, как тебе провести эти каникулы, чтобы было о чем вспомнить. Расчехляй клавиатуру и мышь, ПК-боярин - впереди шквал скидок и отличных предложений! Как всегда - без DRM.

Вот что тебя ждет:

• Более 3400 игр со скидками до 90%.
• Игровые коллекции с большими скидками.
• Новые скидки и предложения каждые 48 часов.
• Новинки последней недели на GOG:
  • OpenTTD (бесплатно)
  • Astalon: Tears of the Earth
  • THIEF: Definitive Edition
  • Sleeping Dogs: Definitive Edition
  • Necromunda: Hired Gun
  • Edge Of Eternity
  • Backbone
  • Witchaven
  • Witchaven 2: Blood Vengeance
  • Farlanders - Prologue (бесплатно)
  • SKALD - Prologue (бесплатно)
  • Until We Die
  • Sabre Team
  • Shadoworlds
  • Overboard!
  • Slipways
  • Sunblaze
  • Rise Eterna
  • Pathfinder: Wrath of the Righteous
  • Janosik (бесплатно)
  • Janosik 2
  • The Looter
  • B.I.O.T.A.
  • Shardpunk: Verminfall
  • Oddventure
  • Strangeland
  • Going Medieval
  • Solasta: Crown of the Magister
• Список Linux-игр со скидками: здесь

Распродажа продлится до 28 июня, 16:00 по МСК.

>>> Подробности

Норвежская компания Vivaldi Technologies объявила о выходе браузера Vivaldi 4.0 для десктопа и Android. Данный браузер создаётся на открытом коде Chromium и продолжает традиции старой Opera Presto, предлагая большой набор функций, встроенных в браузер. Также разработчики декларируют принципиальный отказ от сбора и монетизации данных пользователей, уделяя особое внимание опциям приватности.

В новой версии браузера появился встроенный переводчик, позволяющий осуществлять перевод веб-страниц целиком как в автоматическом, так и в ручном режиме. На данный момент поддерживается более 50 языков. Движок системы перевода разработан компанией Lingvanex, при этом вся облачная часть переводчика размещена на собственных серверах Vivaldi, расположенных в Исландии. Подобное решение позволяет избавиться от слежки со стороны крупных компаний, предлагающих автоматический перевод.

( читать дальше... )

Одной из главных целей создания браузера Vivaldi разработчики называют стремление дать пользователям возможность выйти из-под контроля гигантов индустрии, предоставив браузер, не следящий за своими пользователями и не монетизирующий персональные данные.

>>> Подробности