Ошибка SegmentSmack в ядре Linux, выпуск Android 9 Pie и другие новости


 Alex    07 авг 2018 : 19:04

Подборка новостей за 7 августа 2018 года

Исследователи компьютерной безопасности обнаружили ошибку, получившую имя SegmentSmack, в ядре Linux версии 4.9. В комментарии от RedHat говорится, что "удаленный злоумышленник может использовать эту уязвимость для задействования время- и ресурсоемких функций tcp_collapse_ofo_queue() и tcp_prune_ofo_queue() путем отправки специально модифицированных пакетов в рамках существующих TCP-сессий, что приведет к загрузке центрального процессора и отказу в обслуживании со стороны системы". На данный момент исправления данной ошибки не существует.

Вчера состоялся релиз Android 9 Pie. В новой версии Android используется искусственный интеллект, подстраивающий настройки устройства под ваши предпочтения. Среди новшеств также можно выделить адаптивный алгоритм использования батареи, навигацию с помощью жестов, а также инструменты, позволяющие учитывать время, затраченное на работу с телефоном.

Также компания Google выпустила бюллетень безопасности Android, самая важная проблема из которого является "критической уязвимостью, которая позволяет удаленному злоумышленнику использовать специально сформированный файл для исполнения произвольного кода в контексте привилегированного процесса".

Недавно состоялся релиз GNOME Keysign 0.9.8. В данном релизе исправлено несколько ошибок, а также добавлена поддержка Bluetooth, позволяющая обмениваться ключами без использования сетевого соединения. Приложение опубликовано на Flathub, поэтому вы можете незамедлительно установить новую версию, просто перейдя по ссылке.

Разработчики утилиты для восстановления паролей HashCat в процессе аудита безопасности нового алгоритма рукопожатия из состава стандарта защиты беспроводных сетей WPA3 обнаружили интересную уязвимость в предшествующем ему стандарте WPA2. Данная уязвимость позволяет не захватывать все четырехэтапное рукопожатие, а лишь получать ответ от точки доступа для последующего подбора пароля. Хотя это обстоятельство и не избавляет от необходимости подбора пароля, оно значительно упрощает этап сбора исходных данных, ведь атака работает даже при отсутствии подключенных к точке доступа клиентов. Дополнительная информация доступна на ресурсе itnews.