Исследователей из Северо-западного Университета в Иллинойсе, Zhenpeng Lin, Yuhang Wu и Xinyu Xing опубликовали данные об уязвимости DirtyCred (идентификатор — CVE-2022-2588). Уязвимыми авторы называют все версии ядра, вышедшие за последние 8 лет.

Уязвимость использует технику use-after-free. Из-за ошибки в файле net/sched/cls_route.c ядро может сначала освободить память, а затем повторно использовать её. В данном случае в памяти размещаются реквизиты доступа, что позволяет злоумышленнику выполнить свою программу с повышенными привилегиями. Для эксплуатации уязвимости необходима программа с SUID битом, доступная злоумышленнику, например, su или sudo.

DirtyCred похожа на мартовскую DirtyPipe, но позволяет больше, например, выход из контейнера.

Прототип эксплоита пока не представлен. Атаки типа use-after-free достаточно сложны в исполнении и не гарантируют стабильный результат, однако обновиться всё-таки стоит.

>>> Подробности

Доступен Firefox 104.

( читать дальше... )

>>> Подробности

Издание The Register произвело сравнение потребление сред рабочего стола в 2022 году на примере дистрибутива Ubuntu 22.04. В забеге участвовали:

( читать дальше... )

>>> Подробности на сайте The Register

Более сорока лет назад, а именно, в сентябре 1981 года, был утвержден RFC 793, Transmission Control Protocol. Этот протокол (в то время - стандарт Министерства Обороны США) отвечает за надежную доставку потоков байт между хостами в сетях с коммутацией пакетов. В Интернете, он работает поверх протокола IP как протокол транспортного уровня. Поверх него уже работают протоколы уровня приложений, такие, как HTTP/1.1.

За время существования стандарта TCP в нем были обнаружены различные неоднозначности и недоработки (например, «синдром бестолкового окна»), для исправления которых были приняты новые RFC (например, RFC 1122), уточняющие или частично изменяющие RFC 793. И, конечно же, принимались RFC с изменениями и улучшениями, не ломающие совместимость - например, RFC 1323 (ныне замененный на RFC 7323), описывающий новые опции для повышения производительности TCP на быстрых каналах с большой задержкой.

В итоге для разработчиков, реализующих стеки протоколов TCP/IP (например, для встраиваемых систем), сложилась неприятная ситуация, когда приходится сверяться не с одним документом, а с десятками. В октябре 2013 года была начата работа по переписыванию стандарта TCP со всеми исправлениями в виде одного документа без изменения его смысла. После 35 промежуточных ревизий, 18 августа 2022 года в итоге этой работы был опубликован окончательный документ, RFC 9293, определяющий минимальный набор современных спецификаций для протокола TCP. Необязательные расширения по-прежнему определяются отдельными RFC.

>>> Подробности

Krita - растровый графический редактор от KDE, предназначенный для иллюстрирования и компьютерной живописи. Лицензия - GPL 3.

Основные нововведения:

• Добавлена поддержка формата JPEG-XL.
• Улучшена работы со слоями.
• Улучшена поддержка формата WebP, а также файлов TIFF со слоями в стиле Photoshop.
• Ускорение отрисовки переведено с библиотеки VC на XSIMD.
• Доработан инструмент заливки.
• Добавлена настройка сенсорного управления.

>>> Новость на официальном сайте