Ключевые события в мире IT: уязвимости, скандалы и новые релизы
1. Приветствие
После продолжительного перерыва возвращаемся с подборкой самых значимых и интересных событий из мира информационных технологий и открытого программного обеспечения. В этом выпуске мы рассмотрим как серьезные проблемы безопасности, так и важные обновления и организационные изменения в ключевых проектах.
2. Содержание выпуска
- Скандал на GitHub: фальшивые коммиты от имени Линуса Торвальдса взбудоражили сообщества криптоэнтузиастов и пользователей Linux.
- Критическая уязвимость в Polkit угрожает безопасности всех дистрибутивов Linux, позволяя получить root-привилегии.
- Mozilla анонсировала партнерство с Facebook для продажи агрегированной телеметрии пользователей рекламным сетям.
- Valve выпустила крупное обновление Proton 7.0, значительно расширяющее список игр, совместимых с Linux.
- Раскол в проекте Solus: ведущий разработчик покинул команду, что привело к разделению судеб дистрибутива и среды рабочего стола Budgie.
3. 1. GitHub-скандал: фальшивые коммиты и криптовалютные теории
В официальном репозитории ядра Linux на GitHub появился загадочный коммит, якобы сделанный самим Линусом Торвальдсом. Сообщение «Name = I am Satoshi» мгновенно вызвало бурю обсуждений в криптовалютном сообществе, ведь Сатоши Накамото — псевдоним создателя Bitcoin, личность которого до сих пор не раскрыта.
Новость быстро разлетелась по специализированным изданиям, а социальные сети, такие как Twitter, Reddit и Ycombinator, заполонили споры о том, мог ли Торвальдс быть тем самым анонимным гением. В конечном итоге разъяснения пришлось давать самому Линусу. Он пояснил, что это результат эксплуатации бага GitHub, позволяющего злоумышленнику подделать атрибуцию коммита, используя чужой репозиторий в качестве «веб-имени». Таким образом, ссылка на `torvalds/linux` в URL была лишь уловкой, предназначенной для введения в заблуждение.
«К сожалению, я не являюсь владельцем огромного запаса оригинальных биткойнов», — с юмором заключил Торвальдс, поставив точку в этих слухах. Интересно, что это не единственная подобная шутка — был обнаружен и другой репозиторий, где от имени Торвальдса якобы продвигалась Windows XP. Несмотря на очевидные объяснения, некоторые фанаты Bitcoin остались при своем мнении, продолжая верить в причастность Линуса к созданию криптовалюты. Личность Сатоши Накамото по-прежнему остается одной из главных загадок цифровой эпохи.
Источник: Чёрный треугольник
4. 2. Уязвимость века в Polkit: угроза для всех Linux-систем
Специалисты компании Qualys обнаружили критическую уязвимость в компоненте Polkit (также известном как PolicyKit), который отвечает за управление правами доступа в Linux. Эта брешь в безопасности, существовавшая более 12 лет — с самой первой версии, выпущенной в мае 2009 года, — позволяет обычному пользователю получить полные root-привилегии в системе.
Polkit включает в себя утилиту `pkexec`, предназначенную для авторизованного выполнения команд от имени суперпользователя. Уязвимость, получившая идентификатор CVE-2021-4034, кроется в том, что `pkexec` не проверяет количество переданных аргументов командной строки (`argc`). Злоумышленник может вызвать утилиту без аргументов, используя системный вызов `execve()`. В этом случае программа попытается прочитать имя команды из первого аргумента (`argv[1]`), который фактически не был передан, и вместо этого начнет читать данные из области памяти, где хранятся переменные окружения. Манипулируя этими переменными, атакующий может заставить систему выполнить произвольный код с правами администратора.
Исследователи из Qualys успешно разработали и протестировали эксплойт на стандартных установках Ubuntu, Debian, Fedora и CentOS, подтвердив, что уязвимость затрагивает практически все дистрибутивы. В целях безопасности детали эксплойта не были опубликованы. К счастью, большинство популярных дистрибутивов уже выпустили патчи для устранения проблемы. В качестве временной меры защиты можно удалить SUID-бит у файла `pkexec`.
Источник: Pingvinus.ru
5. 3. Mozilla и приватность: спорное партнерство с Facebook
Фонд Mozilla, известный своей риторикой в защиту приватности в интернете, объявил о совместной работе с Meta (Facebook) над технологией Interoperable Private Attribution (IPA). Эта система предназначена для того, чтобы рекламные сети могли измерять эффективность своих кампаний, анализируя агрегированные данные телеметрии пользователей Firefox.
Технология IPA должна собирать обширную статистику: количество просмотров и кликов по рекламе, активность пользователей после перехода, сравнительный анализ конверсии и даже отслеживание взаимодействий одного пользователя на разных устройствах и в разных браузерах. Mozilla и Facebook утверждают, что IPA разработана с соблюдением принципов конфиденциальности и использует методы дифференциальной приватности для анонимизации данных.
Однако многие эксперты и активисты видят в этом шаге серьезный компромисс. Вместо того чтобы укрепвать приватность, Mozilla, по сути, создает инструмент для легального обхода ужесточающегося законодательства о защите данных. Это вызывает вопросы о будущем миссии организации, которая долгое время позиционировала себя как защитник пользователей от излишнего слежения.
Источник: Чёрный треугольник
6. 4. Игровая революция: Valve выпускает Proton 7.0 для Linux
Компания Valve представила крупное обновление своего игрового слоя совместимости — Proton 7.0. Этот проект, основанный на Wine, позволяет запускать игры для Windows в среде Linux и является ключевым компонентом игрового опыта в Steam для этой платформы.
Новая версия принесла поддержку целого ряда долгожданных игр, включая такие хиты, как Forza Horizon 5, Monster Hunter Rise, Persona 4 Golden и несколько частей Resident Evil. Помимо расширения библиотеки совместимости, обновление включает в себя множество технических улучшений:
- Значительный прирост производительности в областях ввода, управления окнами и распределения памяти.
- Добавлена поддержка системы защиты от читов Easy Anti-Cheat, что открывает доступ к многопользовательским играм.
- Реализована поддержка локального декодирования видео H264.
- Улучшена работа с контроллерами Steam в играх, запущенных через клиент Origin.
- Исправлены проблемы со звуком в Skyrim, Fallout 4 и Mass Effect Legendary Edition.
- Устранены графические артефакты и предупреждения в Age of Empires IV и Marvel’s Avengers.
В основе Proton 7.0 лежат обновленные компоненты: Wine 7.0, DXVK 1.9.4, vkd3d-proton и wine-mono 7.1.2. Этот релиз является серьезным шагом на пути к тому, чтобы сделать Linux полноценной игровой платформой.
Источник: Pingvinus.ru
7. 5. Организационный кризис: разделение Solus и Budgie
Сообщество независимого дистрибутива Solus переживает серьезные изменения. В январе 2022 года ведущий разработчик и один из руководителей проекта Джошуа Стробл объявил о своем уходе. Он присоединился к проекту около семи лет назад и сыграл ключевую роль в его развитии, включая работу над средой рабочего стола Budgie, которая является визитной карточкой Solus.
Причиной ухода стали накопившиеся организационные проблемы. Еще в сентябре 2021 года Стробл представил ряд предложений по улучшению процессов разработки и взаимодействия с сообществом, однако они были проигнорированы остальной частью команды. Это стало «последней каплей» для разработчика.
Джошуа Стробл анонсировал свои дальнейшие планы: создание отдельной организации для развития среды рабочего стола Budgie, куда он планирует привлечь участников из проектов Ubuntu Budgie и Endeavour OS. Также он присоединится к работе над новым дистрибутивом SerpentOS. Руководство Solus, в лице технического директора Беатрис Майерс, заявило, что проект будет продолжен, хотя и с изменениями в структуре команды. Таким образом, судьбы дистрибутива Solus и среды Budgie теперь официально разделились, и они будут развиваться независимо друг от друга.
Источник: Pingvinus.ru
Видео с сайта Pingvinus.ru
Архив выпусков
- IT новости №4
- IT новости №3
- IT новости №2
Полезные ссылки
- Оригинал поста.
- Мой основной сайт - r4ven.me
- Мой телеграм - t.me/r4ven_me
#новости #айти #github #linux #mozilla #opensource #воронийблог #steam #proton #valve
Больше интересных статей здесь: Новости.
Источник статьи: It Новости №5.