dazhichakov

В пресс-службе Instagram дали понять, что знают об этой истории, однако ждать каких-либо претензий от Facebook не стоит. «Иногда при открытии вкладки «Новости» вместо новостей и фотографий Instagram вы можете увидеть материалы с другого веб-сайта. Обычно это происходит при подключении к Интернету на телефоне через сеть Wi-Fi с ограниченным доступом - как в гостинице, аэропорту или кафе, - отметил представитель пресс-службы. - Собственно, вся «реклама» появляется именно по этой причине, хотя команда работает над тем, чтобы отслеживать такие появления». Для решения этой проблемы Instagram советует удалить и снова установить приложение.

Специалист по безопасности из университета Carnegie Mellon и его команда обнаружили условия возникновения тысяч крахов исполняемых файлов из дистрибутива Debian Wheezy. Ошибки были выявлены с помощью автоматизированной системы для поиска ошибок Mayhem (PDF), которая разрабатывалась в одной из лабораторий учреждения последние несколько лет.

Полный список программ, в которых были найдены проблемы можно посмотреть здесь. Из наиболее известных можно отметить xml2, fvwm, xorg-server, vnc4, amule, attr, freetds, rss-glx, cairo, udftools, checkpolicy, db, strigi, dhcpd, gutenprint, faad2, exim4, tiff, fluxbox, mgetty, gcc, hal, groff, hunspell, squid, nasm.

Для того чтобы не наводнять систему трекинга ошибок Debian новыми записями, вместо заведения более 1200 отчётов об ошибках исследователи направили разработчикам Debian данные об ошибках в форме сводного отчёта. Кроме того уведомления направлены непосредственным разработчикам приложений, в которых были выявлены ошибки. Через некоторое время тесты планируется повторить на Debian Unstable, чтобы оценить какие из проблем были исправлены. Также планируется повторить тесты для других дистрибутивов, в данный момент это не сделано для того чтобы не дублировать записи в системах отслеживания ошибок (разработчики разных дистрибутивов могут завести разные записи об ошибках в первичных проектах).

Как правило, проблемы вызваны переполнением стека или ошибками форматирования строки. Указанные проблемы в своей массе не являются критическими уязвимостями, но могут помочь атакующему провести более успешную и быструю атаку на удалённый компьютер. Например, проведённая ещё до эксперимента с Debian ручная проверка 29 крахов, выявленных с использованием Mayhem, показала, что во всех из данных программ присутствуют уязвимости, для которых может быть разработан эксплоит (среди программ, в которых подтверждены уязвимости rsync, aspell, freeradius, ghostscript, iwconfig и т.п.).

Источник: http://www.opennet.ru/opennews/art.shtml?num=37302

Европейский фонд свободного ПО сообщил об успешном завершении проходившего в Германии судебного разбирательства, связанного с нарушением условий лицензии GPL компанией FANTEC. Районный суд Гамбурга постановил, что компания FANTEC ответственна за нарушение условий GPLv2 при распространении мультимедиа проигрывателя 3DFHDL, несмотря на то, что продукт разработан сторонним поставщиком. Компании предписано выплатить штраф, сумма которого не называется, и возместить все судебные издержки истца, а также раскрыть информацию о каналах распространения мультимедиа проигрывателя 3DFHDL.

Юристы FANTEC настаивали на том, что продукт был подготовлен сторонним поставщиком и поэтому ответственность за нарушение GPL должна лежать на поставщике, не выполнившем условия GPL при выполнении заказа. Тем не менее, суд согласился с позицией истца, в роли которого выступал Харальд Вельте, и постановил, что недостаточно полагаться на соблюдение условий лицензии поставщиком, поэтому компания FANTEC должна была самостоятельно убедиться в соблюдении прав третьих лиц перед выводом продукта на рынок.

Харальд Вельте обвинил FANTEC в незаконном использовании кода межсетевого экрана netfilter/iptables в предлагаемой для загрузки официальной прошивке к мультимедиа плееру 3DFHDL. Прошивка была основана на ядре Linux, и Харальд выступал не только как основатель организации gpl-violations.org, но и как один из авторов netfilter, обладающий имущественными правами на код данной подсистемы. До подачи заявления в суд Харальд попытался урегулировать конфликт мирным путём, но компания FANTEC отказалась выполнять условия GPL и публиковать исходный код используемого пакета iptables.

Совместными усилиями энтузиастов из Европейского фонда СПО и сообщества gpl-violations.org на основе анализа бинарной прошивки были собраны доказательства, свидетельствующие о том, что в прошивке используется версия 1.3.7 утилиты iptables, код которой не был включён в предоставляемый архив кода GPL-компонентов. Кроме того, на основе оценки даты сборки было показано, что дата компиляции GPL-компонентов не соответствует прилагаемому коду ядра, используемому в прошивке. По сути FANTEC формально распространяла исходные тексты одной из прошлых версий прошивки, не обновляя их должным образом. Суд признал, что поставку не актуальных исходных текстов, версия которых не соответствует бинарным данным, следует рассматривать как нарушение GPL.

Источник: http://www.opennet.ru/opennews/art.shtml?num=37285