New Thread
Name
×
Email
Subject
Message
Files Max 5 files10MB total
Tegaki
Password
Captcha*
[New Thread]


Представлен релиз растрового графического редактора Krita 5.1.0, предназначенного для художников и иллюстраторов. Редактор поддерживает многослойную обработку изображений, предоставляет средства для работы с различными цветовыми моделями и обладает большим набором средств для цифровой живописи, создания скетчей и формирования текстур. Для установки подготовлены самодостаточные образы в формате AppImage для Linux, экспериментальные APK-пакеты для ChromeOS и Android, а также бинарные сборки для macOS и Windows. Проект написан на языке С++ с использованием библиотеки Qt и распространяется под лицензией GPLv3.

Основные новшества:

    Улучшена работа со слоями. Добавлена возможность выполнения операций копирования, вырезания, вставки и очистки сразу для нескольких выделенных слоёв. В панель управления слоями добавлена кнопка для вызова контекстного меню для пользователей без мыши. Предоставлены средства для выравнивания слоёв в группе. Добавлена поддержка рисования в выделенных областях с использованием режимов смешивания.

    Добавлена поддержка форматов WebP, JPEG-XL, OpenExr 2.3/3+, а также многослойных файлов TIFF со специфичной для Photoshop структурой слоёв. Добавлена поддержка палитр ASE и ACB, применяемых в Photoshop и других программах Adobe. При чтении и сохранении изображений в формате PSD реализована поддержка слоёв заливки и цветных меток.
    Улучшено извлечение изображений из буфера обмена. При вставке предоставлена возможность выбора опций, позволяющих использовать особенности помещения изображений в буфер обмена разными приложениями.
    Задействован новый бэкенд для ускорения операций с использованием векторных инструкций CPU, основанный на библиотеке XSIMD, который по сравнению с ранее применявшимся бэкендом на базе библиотеки VC позволил повысить производительность кистей, в которых применяется смешивание цветов, а также обеспечил возможность использования векторизации на платформе Android.
    Добавлены профили для цветовых пространств YCbCr.
    В диалог компоновки цвета (Specific Color Selector) добавлена область для предпросмотра полученного цвета и реализована возможность переключения между режимами HSV и RGB.

    Добавлена опция для масштабирования содержимого к размеру окна.
    Расширены возможности инструментов заливки. Добавлены два новых режима: непрерывная заливка, при котором подлежащие заливке области определяются перемещением курсора, и инструмент "Enclose and fill", в котором заливка осуществляется в области, попадающие в перемещаемый прямоугольник или другую фигуру. Для улучшения сглаживания границ при заливке задействован алгоритм FXAA.

Message too long. View the full text

Организация MITRE присвоила видеоклипу с песней Джанет Джексон "Rhythm Nation" идентификатор уязвимости CVE-2022-38392 из-за нарушения нормальной работы некоторых старых ноутбуков во время её воспроизведения. Проводимая с использованием указанной композиции атака может привести к аварийному завершению работы системы из-за сбоев в работе жёсткого диска, связанных с возникающим при воспроизведении определённых частот резонансом.

Отмечается, что частота некоторых инструментов в клипе совпадает с колебаниями, возникающими в дисках, вращающихся с частотой 5400 оборотов в минуту, что приводит к резкому увеличению амплитуды их колебаний. Информацией о проблеме поделился сотрудник Microsoft, рассказавший историю из будней службы поддержки продукта Windows XP о том как разбирая жалобы пользователей один из крупных производителей оборудования выявил, что композиция "Rhythm Nation" приводит к нарушениям в работе отдельных моделей накопителей на основе жёстких магнитных дисков, используемых в выпускаемых данным производителем ноутбуках.

Проблема была решена производителем через добавление в звуковую систему специального фильтра, не пропускающего нежелательные частоты во время воспроизведения звука. Но такой обходной путь не обеспечивал полной защиты, например, упоминается случай при котором сбой удалось повторить не на устройстве, на котором воспроизводился клип, а на рядом стоящем ноутбуке. Проблема также фиксировалась на ноутбуках других производителей, продававшихся примерно в 2
Message too long. View the full text

Владелец автомобиля Hyundai Ioniq SEL опубликовал серию статей с рассказом, как ему удалось внести изменения в прошивку, используемую в информационно-развлекательной системе (IVI) на базе операционной системы D-Audio2V, применяемой в автомобилях Hyundai и Kia. Оказалось, что все необходимые для расшифровки и верификации данные публично доступны в сети и для их определения потребовалось лишь несколько запросов в Google.

Предлагаемое производителем обновление прошивки к IVI-системе поставлялось в zip-файле, зашифрованном паролем, а содержимое самой прошивки было зашифровано при помощи алгоритма AES-CBC и заверено цифровой подписью на основе ключей RSA. Пароль от zip-архива и AES-ключ для расшифровки образа updateboot.img удалось найти в скрипте linux_envsetup.sh, который в открытом виде присутствовал в пакете system_package с открытыми компонентами ОС D-Audio2V, распространяемом на сайте производителя IVI-системы.

Тем не менее для модификации прошивки не хватало закрытого ключа, применяемого для заверения по цифровой подписи. Примечательно, что RSA-ключ помогла найти поисковая система Google. Исследователь отправил поисковый запрос, указав ранее найденный AES-ключ и натолкнулся на то, что ключ не является уникальным и упоминается в документе NIST SP800-38A. Рассудив, что похожим образом заимствован и RSA-ключ исследователь нашёл в сопровождающем прошивку коде открытый ключ и попытался найти по нему информацию в Google. Запрос показал, что указанный открытый ключ упоминает
Message too long. View the full text

GitHub опубликовал отчёт, в котором отражены уведомления о нарушении интеллектуальной собственности и публикации незаконного содержимого, поступившие за первую половину 2022 года. Ранее подобные отчёты публиковались ежегодно, но теперь GitHub перешёл на раскрытие информации раз в полугодие. В соответствии с действующим в США Законом об авторском праве в цифровую эпоху (DMCA, Digital Millennium Copyright Act), в первой половине 2022 года GitHub получил 1200 требований о блокировке. От владельцев репозиториев поступило 20 опровержений на неправомерную блокировку.

Из-за получения жалоб на нарушения условий использования сервиса, не связанных с DMCA, GitHub скрыл 44913 учётных записей, из которых 356 впоследствии были восстановлены. Блокировка доступа владельца учётной записи были предпринята в 268 случаях (16 учётных записей затем были разблокированы). Для 2617 учётных записей одновременно были применены и блокировка и скрытие (восстановлены затем были 54 учётных записей). В разрезе проектов было отключено 1766 проектов и возвращено только 4.

GitHub также получил 212 запросов о раскрытии данных пользователей (для сравнения за первое полугодие 2021 года было получено 172 запросов). 122 подобных запроса было отправлено в форме судебных повесток (118 криминальных дел и 4 гражданских), 56 - судебных постановлений и 10 ордера на обыск. 98.1% запросов были отправлены правоохранительными органами, а 1.9% по гражданским искам. Удовлетворено 169 запросов из 212, в результате чего р
Message too long. View the full text

Уязвимость в устройствах на базе SoC Realtek, позволяющая выполнить код через отправку UDP-пакета

Исследователи из компании Faraday Security представили на конференции DEFCON детали эксплуатации критической уязвимости (CVE-2022-27255) в SDK для чипов Realtek RTL819x, позволяющей выполнить свой код на устройстве через отправку специально оформленного UDP-пакета. Уязвимость примечательна тем, что позволяет атаковать устройства, в которых отключён доступ в web-интерфейс для внешних сетей - для атаки достаточно просто отправить один UDP-пакет.

Уязвимость затрагивает устройства, в которых используются уязвимые версии SDK Realtek, включая eCos RSDK 1.5.7p1 и MSDK 4.9.4p1. Обновления eCos SDK с устранением уязвимости были опубликованы Realtek 25 марта. Пока не ясно какие именно устройства подвержены проблеме - SoC Realtek RTL819x используется в сетевых маршрутизаторах, точках доступа, усилителях Wi-Fi, IP-камерах, устройствах интернета вещей и прочих сетевых устройствах более 60 производителей, включая Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT-Link, Netgear, Smartlink, UPVEL, ZTE и Zyxel.

В открытом доступе уже опубликованы примеры эксплоитов для получения удалённого доступа к устройству и выполнения своих команд на примере атаки на маршрутизатор Nexxt Nebula 300 Plus. Дополнительно опубликованы утилиты для анализа прошивок на наличие уязвимости.

С учётом проблем с подготовкой и доставкой и обновлений прошивок на уже выпущенные устро
Message too long. View the full text

Уязвимость в устройствах на базе SoC Realtek, позволяющая выполнить код через отправку UDP-пакета

Исследователи из компании Faraday Security представили на конференции DEFCON детали эксплуатации критической уязвимости (CVE-2022-27255) в SDK для чипов Realtek RTL819x, позволяющей выполнить свой код на устройстве через отправку специально оформленного UDP-пакета. Уязвимость примечательна тем, что позволяет атаковать устройства, в которых отключён доступ в web-интерфейс для внешних сетей - для атаки достаточно просто отправить один UDP-пакет.

Уязвимость затрагивает устройства, в которых используются уязвимые версии SDK Realtek, включая eCos RSDK 1.5.7p1 и MSDK 4.9.4p1. Обновления eCos SDK с устранением уязвимости были опубликованы Realtek 25 марта. Пока не ясно какие именно устройства подвержены проблеме - SoC Realtek RTL819x используется в сетевых маршрутизаторах, точках доступа, усилителях Wi-Fi, IP-камерах, устройствах интернета вещей и прочих сетевых устройствах более 60 производителей, включая Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT-Link, Netgear, Smartlink, UPVEL, ZTE и Zyxel.

В открытом доступе уже опубликованы примеры эксплоитов для получения удалённого доступа к устройству и выполнения своих команд на примере атаки на маршрутизатор Nexxt Nebula 300 Plus. Дополнительно опубликованы утилиты для анализа прошивок на наличие уязвимости.

С учётом проблем с подготовкой и доставкой и обновлений прошивок на уже выпущенные устро
Message too long. View the full text
Представлена новая открытая система синтеза изображений Stable Diffusion 

Открыты наработки, связанные с системой машинного обучения Stable Diffusion, синтезирующей изображения на основе текстового описания на естественном языке. Проект развивается совместными усилиями исследователями из компаний Stability AI и Runway, сообществ Eleuther AI и LAION, а также группы CompVis lab (лаборатория исследований в области машинного зрения и машинного обучения при Мюнхенском университете). По возможностям и уровню качества результата Stable Diffusion напоминает проект DALL-E 2, но развивается как открытый и общедоступный. Реализация Stable Diffusion написана на языке Python и распространяется под лицензией MIT.

Готовые модели в настоящий момент предоставляются по отдельному запросу образовательным учреждениям и независимым исследователям, но разработчики обещают открыть их для всех желающих после завершения тестирования и готовности первого релиза. Для обучения системы использовался кластер из 4000 GPU NVIDIA A100 Ezra-1 и коллекция LAION-5B, включающая 5.85 миллиардов изображений с текстовыми описаниями. Компоненты для генерации изображения отмечаются как достаточно легковесные для работы на пользовательских системах, например, для синтеза изображений с разрешением 512x512 достаточно наличия в системе GPU с 10GB видеопамяти. 

https://www.opennet.ru/opennews/
Message too long. View the full text
Исследователь из Лёвенского католического университета продемонстрировал на конференции Black Hat технику компрометации пользовательского терминала Starlink, используемого для подключения абонентов к спутниковой сети SpaceX. Терминал оснащён собственным 64-разрядном SoC, созданным компанией STMicro специально для SpaceX. Программное окружение основано на Linux.

Предложенный метод позволяет выполнить свой код на терминале Starlink, получить root-доступ и доступ в недоступную пользователю через обычные порты внутреннюю сеть, используемую терминалами, например, для обновления прошивок. Опубликованные наработки также могут быть применены для продвинутых экспериментов в области программно определяемых радиосистем (SDR), в силу специфичной структуры терминала Starlink (фазированная антенная решётка, управляемая программно).

Взлом терминала Starlink интересен с точки зрения атаки на хорошо защищённую Linux-систему с качественной реализацией режима безопасной загрузки (Secure Boot). Так как программно систему не удалось скомпрометировать, взлом был осуществлён на аппаратном уровне с применением специального лабораторного оборудования. В конечном счёте, необходимое для взлома оборудование удалось свести к готовой плате-надстройке (modchip), использующей обычный микроконтроллер Raspberry Pi RP2040 (2-ядерный Cortex M0).

Подготовленная modchip-плата подключается к определённым дорожкам основной платы терминала Starlink и вызывает сбой путём изменения напряжения в определённых ч
Message too long. View the full text

Show Post Actions

Actions:

Captcha:

- news - rules - faq -
jschan 0.9.2