Keine Ahnung was ich mir dabei gedacht habe, aber irgendwie war ich der irrigen Meinung, deutsche Behörden in Form von Datenschutzbehörde und Staats ...
Ok, wir haben zwar nicht Ostern, aber es wurde trotzdem ein Osterei gefunden… in Runes of Magic.
Runes of Magic – Der Tempel der Raksha
Tarkina findet den Muffin Man – Leider nicht als Erste 🙁
Es gab schon immer Zweifel daran, daß der Tempel der Raksha ungewollt so geräumig ist. Man kann die ganze Ini umlaufen, wenn man erstmal den Einstieg gefunden hat und sehr viel Zeit investiert 😉
Ungewollt ist sicherlich, daß man den ersten Boss auch umlaufen kann. Allerdings kommt das mit einem Pferdefuß daher: Die Init läuft dann auf dem maximalen Härtegrade Diamant, was solo trotz Level 60 als Stoffi nicht so prickelnd ist 🙂
Was auch die wenigsten wissen werden, die Ini hat einen geheimen LP/Ausdauer Buff, der aber schwierig, weil unzuverlässig, zu reproduzieren ist. Dazu müssen die richtigen sprechenden Säulen in einem bestimmten Zeitfenster aktiviert werden.
Im übrigen, werde ich Euch nicht verraten, wie Ihr hinkommt. Wo das Ei ist, seht Ihr ja, aber der Weg ist das Ziel 😉
Wenn es um Netflix Serien geht, liest man meistens von Stranger Things oder Dark. Stattdessen sollte man lieber über Best.Worst.Weekend.Ever reden 🙂 Die zweite Staffel von Dark hätte man auch in zwei Folgen unterbringen können, ohne das irgendein Verlust eingetreten wäre.
Best.Worst.Weekend.Ever
Die neue Serie von Netflix dreht sich um Chaos in Progress, auf Deutsch, eine Katastrophe jagt die nächste 🙂 Ständig hat man das Gefühl, Jetzt, ja Jetzt müßte es eigentlich endlich geschafft sein, da passiert wieder irgendetwas skurriles. Bingewatching garantiert. Ok, bei nur 8 Folgen zu 25 Minuten, also 200 Minuten fällt das natürlich leicht.
Die Handlung
Zu viel möchte ich Euch natürlich nicht erzählen, sonst sind es ja keine 200 Minuten mehr für Euch, aber etwas kann man schon berichten: Eine Gruppe Comic Fans möchte einen alten Comicstrip, der unvollendet geblieben ist, vervollständigen. Auf der erstmals im Ort stattfindenden Comic-Con soll der fertige Comic StarCrasher #94 dem zufällig anwesenden Originalautor übergeben werden, um sich seine Anerkennung zu versichern. Was kann da schon schiefgehen? 😉 Naja, z.B. könnte man die dafür nötige Eintrittskarte eine unfreiwilligen Reise nach, sagen wir mal, Alaska unternehmen lassen.
Das Fazit der Handlung: Ein Wochenende kann ganz schön heftig sein 🙂
Laßt Euch nicht davon abhalten, daß die Altersfreigabe nur 6 Jahre beträgt. Sie hätte auch gut 0 sein können, allerdings würde ich meine Kinder das nicht mit 6 sehen lassen, da die nur auf ganz dumme Ideen kommen würden 😀 Das könnte dann höchstens mangels Gelegenheit verhindert werden. Die Serie ist witzig anzusehen, die Story nicht komplett vorhersehbar, die Syncro ist ok. Die knallbunte Farbwahl könnte allerdings von Disney stammen.
Ein bisschen sehr unrealistisch ist die angebliche Harvardstudentin, die würde ich nicht einmal eine Würstchenbude auf dem Mars leiten lassen. Sie hat das Herz zwar am rechten Fleck, aber ihr Harvard muß in einem anderen Land liegen.
Wie die Hacker News heute morgen berichten, ist im KDE 4/5 Plasma Desktop eine Schwachstelle enthalten, die durch das reine Herunterladen von manipulierten Desktopdateien ( erkennbar an den Endungen .desktop und .directory) ausgelöst werden kann.
Schwachstelle im KDE Desktop Indexer für Plasma
Die Ursache liegt im unsicheren Indexer, der neue Dateien analysiert und für die Suchfunktion des Desktops aufbereitet.
Dabei werden Umgebungsvariablen aus der analysierten Datei übernommen, was dazu führt, daß ein Angreifer seinen Schadcode ausführen kann. Auch das Auspacken von Archiven triggert den Indexer an, so daß auch dies die Schwachstelle auslöst.
Securityforscher Dominik Penner, der die Lücke direkt an die Hacker News geschickt hat, statt sie dem KDE Security Team zu senden, schreibt dazu:
„When a .desktop or .directory file is instantiated, it unsafely evaluates environment variables and shell expansions using KConfigPrivate::expandString() via the KConfigGroup::readEntry() function,“ Penner said.
„Wenn eine .desktop oder .directory Datei instanziiert wird ( A.d.R.: muß wohl gelesen heißen ), werden auf unsichere Weise Umgebungsvariablen und Shellerweiterungen ausgewertet, in dem die Funktion KConfigPrivate::expandString() via KConfigGroup::readEntry() genutzt wird“ schreibt Penner.
Diese Schwachstelle erinnert extrem stark an die kürzlich gefundenen Schwachstellen in Exim, wo auch die Inhalte von fremdeingelieferten Strings ausgewertet werden und zu einem Root-Exploit eskalieren.
Bis auf weiteres muß man bei Downloads und dem Auspacken von aus unbekannten/unsicheren Quellen stammenden Archiven extrem vorsichtig sein. Das KDE Team hat einen Patch angekündigt, fertig ist der aber noch nicht.
Wenn ich mich recht entsinne, hatte der Gnome Index auch kürzlich erst so eine Schwachstelle.
Kleines Update: (10:24 Uhr)
Es gibt ein Youtube Video, daß das Problem zeigt. Allerdings wird man als unbedarft neugieriger erstmal unverständlich davor sitzen. Daher möchte ich dazu eine kleine Einleitung geben:
In dem Shellfenster rechts startet Penner „nc -lp 31337“ ( 31337 = „elite“ in L33T-Speak 🙂 ). nc startet also einen Dämon und wartet auf Verbindungen. Plötzlich wird nc beendet und wirft eine Fehlermeldung aus. Das liegt daran, daß das Desktopfile, daß per Firefox runtergeladen wird, sich bzw. ein dadurch gestartetes anderes Programm zu besagtem Port 31337 verbindet.
Das zusammen demonstriert das Problem. Man kann in den Desktopdateien natürlich auch „rm -rf /“ unterbringen, oder den Download von Illegalem Filmmaterial starten.
