Mark Vogelsberger - 2025. június 13.
A különböző gyártók UEFI firmware-jében található számos súlyos biztonsági rés lehetővé teszi a támadók számára a biztonságos rendszerindítás megkerülését vagy a firmware cseréjét. Ennek oka a nem biztonságos NVRAM változók, amelyeket a BIOS megbízhatóként kezel, annak ellenére, hogy manipulálhatók. A Proof-of-Concept-Code (koncepcióbizonyító kód) nyilvánosan elérhető, és a BIOS-frissítések fejlesztés alatt állnak.
A biztonságos rendszerindítás egy biztonsági mechanizmus a modern UEFI rendszerekben, amelynek célja annak biztosítása, hogy a rendszerindítási folyamat során csak a gyártó által aláírt és így ellenőrzött szoftver töltődjön be. Ha ezt a védelmet megkerülik, tetszőleges kód – beleértve a rosszindulatú kódot is – végrehajtható a tényleges operációs rendszer előtt. Az NVRAM (Non-Volatile Random Access Memory) véglegesen tárolja a BIOS-beállításokat és egyéb adatokat, még akkor is, ha a számítógép ki van kapcsolva.
Az egyik sebezhetőség a DTResearch "DTBios" és "BiosFlashShell" UEFI alkalmazásait érinti. Ezek az alkalmazások nem biztonságosan használnak egy adott NVRAM változót (IhisiParamBuffer) memóriamutatóként. Ez lehetővé teszi a biztonságkritikus struktúrák, például a Secure Boot-ot vezérlő Security2 protokoll felülírását. Mivel az érintett alkalmazásokat a Microsoft írta alá, a támadás számos UEFI rendszeren lehetséges – függetlenül a Secure Boot beállításaitól (CVE-2025-3052, CVSS 8.2). A Microsoft már felvette a problémás aláírásokat a DBX feketelistájára.
Egy másik sebezhetőség az Insyde-H2O firmware-t érinti. A SecureFlashCertData NVRAM változót digitális tanúsítványok megfelelő védelem nélküli tárolására használják. Ez lehetővé teszi a támadók számára, hogy saját tanúsítványokat injektáljanak, és manipulált, érvényesnek ítélt firmware-t töltsenek be (CVE-2025-4275, CVSS 7.8). A sebezhetőség felfedezője részletes elemzést tett közzé, amely egy kihasználási lehetőséget is tartalmazott, és a problémát „Hydroph0bia”-nak nevezte.
Ulrich Bantle - 2025. június 11.
Az Ubuntu 25.10, "Quosting Quokka" kiadásával a Canonical eltávolítja az Xorg-alapú Ubuntu munkameneteket. Ettől a kiadástól kezdve a Gnome Display Manager (GDM) "Ubuntu"-ja kizárólag Waylanden fog futni.
A fejlesztők szerint ez a döntés a Gnome upstream ütemtervét követi. A Gnome azt tervezi, hogy a Gnome 49-től kezdődően eltávolítja az Xorg támogatást. "A 25.10-ben proaktív lépést teszünk, hogy felkészítsük felhasználóinkat és ökoszisztémánkat erre az időpontra" - mondja Jean Baptiste Lallement, a Canonical asztali csapatának tagja az Ubuntu blogon.
A Wayland jelentősen fejlődött az elmúlt ciklusokban, beleértve az Nvidia illesztőprogramok jobb támogatását, a robusztusabb biztonsági modellt, a legtöbb napi munkafolyamat stabil támogatását, a jobb grafikus verem izolációt, valamint a továbbfejlesztett érintőképernyős és HiDPI támogatást – írja Lallement.
Időközben az X11 és a Wayland munkamenetek fenntartása technikai terheket okoz és növeli a karbantartási erőfeszítéseket, ami lassítja az innovációt.
Az Ubuntu 25.10 az utolsó ideiglenes kiadás a következő LTS ciklus (Ubuntu 26.04) előtt. A mostani váltással a fejlesztők és a felhasználók teljes ciklust kapnak az alkalmazkodásra a következő LTS előtt, míg a csapat egyszerűsítheti a támogatási mátrixát az LTS-ig.
A gyakorlatban a bejelentkezési képernyő (GDM által működtetve) már nem mutatja az Ubuntu Xorg-on opciót. A Gnome Shell és Mutter alapú összes munkamenet ezután csak Wayland-alapú lesz. Az X11-specifikus viselkedésre támaszkodó felhasználók nem használhatják a Gnome asztali környezetet Xorg alatt.
Azok, akiknek továbbra is szükségük van az X11-re, például távoli asztali konfigurációkhoz vagy speciális munkafolyamatokhoz, telepíthetnek és használhatnak egy nem GNOME asztali környezetet. Maga az Xorg nem fog eltűnni, csak a Gnome Xorg-támogatása.
Megjelent a PCLinuxOS Magazine 2025. júniusi száma
A tartalomból:
* hírek (kínai kiberkémkedés Dél-Kelet Ázsiában; weblap-blokkolás stb.)
* Inkscape okatató: csempézett klón-trükk;
* Wiki Pick: hibás pontos idő megjelenítés dual-bootos gépeknél
* Typst szakácskönyv: második rész;
* és sok egyéb.
Jó szórakozást!
Ulrich Bantle - 2025. május 23.
A Mozilla bejelentette, hogy 2025. július 8-án leállítja Pocket könyvjelző szolgáltatását. Miután a Mozilla 2017-ben felvásárolta a Pocketet, a szolgáltatást tartalmak felügyelésére és ajánlására használták.
A Firefox felhasználók webes tartalmak felfedezésére és elérésére használhatták. A Mozilla a szolgáltatóval együtt felvásárolta a Pocketet, és nyílt forráskódú projektté tette. A Mozilla szerint a felhasználók 2025. október 8-ig exportálhatják a mentett cikkeket, beleértve a listában, archívumban, kedvencekben, jegyzetekben és kiemelésekben szereplőket is. Ezt követően minden felhasználói fiók és adat véglegesen törlődik.
A Pocket webbővítmény azonnali hatállyal telepíthetetlen lesz. Bárki, aki megpróbálja használni a Pocket-bővítményeket, át lesz irányítva a Pocket exportálási oldalára.
A Mozilla kijelentette, hogy a Pocket felhasználóknak nem kell törölniük fiókjaikat, mivel az összes Pocket felhasználói adat automatikusan törlődik 2025. október 8-án. A Pocket Premium visszatérítések arányosak lesznek, ami azt jelenti, hogy a visszatérítés attól függ, hogy mennyi idő van még hátra az előfizetésből 2025. július 8. után.
A Pocket böngészőbővítmények a Pocket leállítása után is a felhasználók böngészőjében maradnak, teszi hozzá a közlemény. A felhasználóknak manuálisan kell eltávolítaniuk a Pocket bővítményt a böngészőikből.