Vous n'avez probablement jamais entendu parler du code de compression de données xz, mais il est essentiel à de nombreux programmes, et nous savons maintenant que quelqu'un y a implanté du code malveillant.
quand Chapeau rouge Annoncez d'abord la nouvelle que La dernière version des bibliothèques de compression de données xz contient un piègeLes gens étaient inquiets, mais pas trop. Cependant, ils pensent que beaucoup ont d’abord pensé qu’il s’agissait simplement d’une autre faille de sécurité. Tandis que d'autres pensent que si cela affecte seulement Fedora Linux 40 bêtaÀ quel point est-ce grave ?
Réponse : Très, très mauvais, en effet.
Vous voyez, même si aucune personne sensée n’exécuterait une version bêta de Fedora en production, le problème n’est pas Fedora. C'est avec le nouveau bibliothèques xz: xz-libs-5.6.0-1.fc40.x86_64.rpm et xz-libs-5.6.0-2.fc40.x86_64.rpm.
Les bibliothèques contiennent du code malveillant conçu pour permettre aux attaquants de prendre le contrôle des systèmes via un accès non autorisé. Ce malware de porte dérobée a été écrit dans le référentiel principal xz, puis placé dans ses propres archives tar.
En gros mot, en majuscules.
Red Hat a donné ce code malveillant dans son fichier CVE-2024-3094 Signalez la note CVSS (Common Vulnerability Scoring System) la plus élevée possible, soit 10. Ou, comme j'aime appeler ce niveau d'erreur, il s'agit de « retirer le cordon d'alimentation du mur maintenant et de vous épargner encore plus de douleur ».
Anders Freundune Microsoft ingénieur logiciel principal, Il a analysé le malware xz. Freund a découvert que l'attaquant avait entré un script obscur qui activait la porte dérobée. Dans certains cas, son attaque principale n'a pas fonctionné, le seul résultat étant un ralentissement considérable. Chut Connexions.
En fait, dans le cas du programme SSH populaire OuvertSSHVous n'avez même pas besoin de l'exécuter en tant que serveur pour que l'effet de ralentissement atteigne votre système. Puisque SSH est essentiel pour le développement et l’administration de Linux, c’est plus que suffisant.
Qu'est-ce qui rend vraiment cela majeur Bêta Le problème est que ces bibliothèques ne se trouvent pas uniquement dans Fedora. Oh mon Dieu, non. Xz est l'un des outils Linux essentiels. Vous trouverez ces bibliothèques partout.
Ce qui est encore plus inquiétant à propos de cet incident, c'est qu'il semble que le modérateur de confiance de xz, Jia Tan, soit le pirate informatique.
« Compte tenu de l'activité qui a duré plusieurs semaines, soit l'auteur était directement impliqué, soit il y avait une compromission extrême à son égard », a déclaré Freund.Système. Malheureusement, cette dernière semble être l’explication la moins probable, puisque dans différentes listes, ils parlent des « réformes » mentionnées ci-dessus.
Bien que du code malveillant ait déjà été injecté dans du code open source approuvé par les responsables, cela est vraiment rare. À ma connaissance, cela n’est jamais arrivé à un outil Linux important auparavant.
Oh oui, il pourrait y avoir d'autres serpents de sécurité cachés dans l'herbe. «Je le suis», admet Freund. Non Chercheur en sécurité, pas d'ingénierie inverse. Il y a beaucoup de choses que je n'ai pas analysées, et la plupart de ce que j'ai remarqué n'est que de l'observation et non une analyse complète du code de la porte dérobée.
La bonne nouvelle – il y a de bonnes nouvelles – est que xz 5.6.0 et 5.6.1 ne sont pas encore largement inclus dans les distributions Linux. Lors de sa fusion, le code se trouvait principalement dans des versions préliminaires. La mauvaise nouvelle est que, avec Fedora, il est déjà présent dans les premières versions de Debian, ouvertSUSE, Ubuntu, etc. Vous l’appelez, c’est une distribution avancée ou une version bêta, et un mauvais code s’y cache probablement.
Alors, que pouvez-vous faire à ce sujet ? Eh bien, la suggestion par défaut est de rétrograder vers xz 5.6.0/5.6.1. Cependant, prévient le développeur Debian Joey Hess, cela pourrait ne pas suffire. Hess craint que Tan n'ait caché d'autres portes dérobées dans le XZ. Hess vous suggère de revenir à xz 5.3.1.
Si bien sûr vous parvenez à retrouver ce code. GitHub a désactivé le référentiel xz. Il s’agit véritablement d’un gâchis de sécurité du plus haut niveau.
Les gens se soucient depuis longtemps de la qualité du code xz et, en fait, de certains des bâtiments de base du projet. Avec ce bug, je pense qu'il est temps d'envisager sérieusement d'extraire et de remplacer xz à partir du code source.
La plupart des utilisateurs ne seront pas affectés par ce malware, mais s'il n'est pas détecté pendant encore deux ou trois mois, tous ceux qui utilisent Linux seront confrontés au plus grand désastre de sécurité jamais vu.
YOUTUBE.COM/THENEWSTACK
La technologie évolue rapidement, ne manquez jamais un épisode. Abonnez-vous à notre chaîne YouTube pour diffuser tous nos podcasts, interviews, démos et bien plus encore.
Participer
« Drogué aux voyages. Amateur de café. Évangéliste incurable des médias sociaux. Zombie maven. »
Honor a présenté la version Porsche Design de son téléphone phare Magic6 en mars, et aujourd'hui, le téléphone est enfin disponible en dehors de la Chine. Il est livré avec 24 Go de RAM, 1 To de stockage et un impressionnant appareil photo principal de 50 MP avec une plage dynamique jusqu'à 15 EV et une mise au point automatique plus rapide et plus précise.
Le téléphone est plus qu’un simple téléphone Magic6 Pro avec un superbe panneau à l’arrière. La caméra principale est dotée d'un capteur OmniVision H9800 1/1,3″ mis à jour et d'une face arrière. Porsche Taycan.
L’écran OLED LTPO de 6,8 pouces est doté d’une luminosité plus élevée de 1 800 nits. Il s'agit d'un écran tandem double couche, censé prolonger la durée de vie de l'écran jusqu'à 600 % selon les tests internes de Honor. L’objectif de cette technologie est de réduire la dégradation de la luminosité de l’écran à moins de 1 % après trois ans d’utilisation.
Le Honor Magic6 RSR Porsche Design est disponible en deux couleurs, toutes deux inspirées des véritables voitures de sport Porsche : Frozen Berry, qui est également la couleur héroïque de Taycan 2020et Agate Grey, une peinture classique de voiture de course Porsche 911.
Le Magic6 RSR Porsche Design coûte 1 599 £ au Royaume-Uni. Il est disponible dès aujourd'hui sur le site Web de Honor Porsche-Design.com et arrivera bientôt également sur les marchés de l'Union européenne.
Nous avons déjà un test du téléphone, que vous pouvez lire ici.
« Drogué aux voyages. Amateur de café. Évangéliste incurable des médias sociaux. Zombie maven. »
Vizio, la marque audiovisuelle emblématique axée sur la valeur, a dévoilé une nouvelle gamme de sept haut-parleurs qui, selon elle, offrent une combinaison unique de valeur, de facilité d'utilisation et de design innovant.
L'affirmation de valeur est immédiatement étayée par le fait que la nouvelle barre de son Vizio 2.0 d'entrée de gamme (ou SV200M-08 pour donner le numéro de modèle largement oubliable) ne coûtera que 99 $ au lancement, tandis que tous les autres modèles Vizio, à l'exception du modèle Elevate, coûtent 499 $. Le SE vous coûtera moins de 250 $.
En termes de facilité d'utilisation, si vous ne souhaitez pas ajouter de télécommandes de barre de son à la pile de téléphones encombrant votre table basse, chaque nouvelle barre de son Vizio peut être contrôlée soit par la télécommande de votre téléviseur, soit par l'application mobile de Vizio.
Le Vizio SV210M-08 est une solution de barre de son 2.1 canaux qui ne coûtera que 169 $.
Pendant ce temps, le principal sujet de discussion concernant le design est le nouveau concept QuickFit de Vizio. Cette idée en instance de brevet vous permet de connecter physiquement votre nouvelle barre de son aux téléviseurs Vizio compatibles à l'aide d'une paire de simples vis à oreilles incluses avec certains modèles de barre de son. Ces vis peuvent être insérées à la main sous les téléviseurs Vizio compatibles, sans avoir besoin de tournevis, créant ainsi une paire de poteaux de montage auxquels la nouvelle barre de son peut se connecter via un mécanisme de « clic » satisfaisant.
Conçu pour éliminer l'encombrement des fils, les espaces et, en particulier, les tracas liés au montage des haut-parleurs au mur, QuickFit est déjà disponible sur une gamme de téléviseurs Vizio existants. Il s'agit des modèles VQP75C-84 et VQP65C-84 Quantum Pro ; modèles quantiques M65Q6-L4 et M75Q6-L4 ; 4K V655M-K04, V755M-K04, V4K55M-08, V4K55C-08, V4K65M-08, V4K65C-08, V4K70M-08, V4K75C-08, V4K75M-08 ; et le V4K86C-08 de 86 pouces récemment sorti.
تتميز جميع أشرطة الصوت الجديدة من Vizio بدعم كل من تنسيقات الصوت DTS:X وDolby Atmos، ومستويات صوت قابلة للتعديل مصممة في الغالب لجعل الحوار أكثر وضوحًا، وموضوع تصميم مشترك يجمع بين الأنسجة الناعمة والمرفقات ذات التشطيب الساتان والأشكال المنخفضة للمساعدة ينظرون إلى المنزل في أي بيئة salle de séjour.
Du niveau d'entrée au niveau phare, l'ensemble de la nouvelle gamme d'enceintes Vizio se présente comme suit :
Le Vizio SV510X-08 est un nouveau pack de haut-parleurs 5.1 canaux vendu 229 $.
Si l'un de ces nouveaux modèles d'enceintes Vizio a attiré votre attention, les premiers commenceront à apparaître en ligne à partir du 13 mai, les autres arrivant d'ici l'automne de cette année.
—
Lecture connexe
Vizio lance un nouveau téléviseur 4K de 86 pouces – pour seulement 999 $
Sony dévoile une nouvelle gamme radicale de téléviseurs et d'enceintes pour 2024
LG dévoile sa gamme d'enceintes 2024, dont un nouveau produit phare à 15 canaux
« Drogué aux voyages. Amateur de café. Évangéliste incurable des médias sociaux. Zombie maven. »
San Francisco, 1 mai 2024 /PRNewswire/ — Transparency House, l'un des principaux studios de production créative au monde, est fier d'annoncer son 20e anniversaire dans l'industrie. Depuis sa création en 2004, Transparency House est à la pointe de l'innovation créative, proposant des animations et des présentations de pointe à ses clients.
Pour célébrer cette étape importante, Transparent House a été lancé Nouvel emplacement Présentant son incroyable parcours au cours des deux dernières décennies. Le site Web présente une présentation complète du portefeuille diversifié du studio, qui comprend une large gamme de services, notamment la visualisation de produits et d'architecture, l'animation CG et des environnements interactifs de marque.
Fondé à l'origine comme un studio de visualisation architecturale, Transparent House est devenu un centre créatif aux multiples facettes. Connu pour sa visualisation précise et son réalisme inégalé, le studio a établi la norme d'excellence dans le domaine du graphisme CG.
Au fil des années, Transparent House a élargi son expertise pour servir des clients dans divers secteurs, notamment l'immobilier, la vente au détail, l'électronique grand public et la technologie. Adoptant les technologies émergentes, le studio s'est récemment aventuré dans les mondes de la réalité augmentée et de la réalité augmentée, repoussant les limites de l'innovation numérique.
« Nous sommes extrêmement fiers de célébrer 20 ans de créativité, d'innovation et d'excellence », a-t-il déclaré. Denis Krylov, co-fondateur et PDG de Transparent House. « Notre parcours a été marqué par un engagement sans compromis à repousser les limites de l'imagination et à offrir des expériences inégalées à nos clients. »
Les clients de Transparency House comprennent certaines des marques les plus reconnues au monde, notamment Apple, HP, Samsung, JLab, Macy's, Sony et Logitech. Grâce à des collaborations stratégiques et des projets pionniers, le studio continue de redéfinir les possibilités de narration visuelle et de communication de marque.
Pour plus d’informations sur Transparent House et ses services, veuillez visiter le site Web www.transparenthouse.com.
Source : Société Transparent House
« Drogué aux voyages. Amateur de café. Évangéliste incurable des médias sociaux. Zombie maven. »
Découvrez les tendances homme de l’été 2022
Festival international du film de Melbourne 2022
Voici comment Microsoft espère injecter ChatGPT dans toutes vos applications et bots via Azure • The Register
Les météorites qui composent la Terre se sont peut-être formées dans le système solaire externe
Écoutez le « son » d’un vaisseau spatial survolant Vénus
F-Zero X arrive sur Nintendo Switch Online avec le multijoueur en ligne • Eurogamer.net
Seven révèle son premier aperçu du 1% Club
Centenaire des 24 Heures – La musique live fournit une bande-son pour la course