BR-Linux.org

Para dar aquela agitada no final de semana, chega via linuxiac o aviso de mais um exploit de elevação de privilégios de usuário local no Linux.

O bug da vez recebeu o nome de DirtyClone, e é uma exploração da mesma vulnerabilidade já exposta anteriormente pelo DirtyFrag e Fragnesia, agora por meio de um recurso que não foi tratado nas correções do kernel que os removeram, no mês passado.

A consequência é similar: usuários com acesso local ganham poderes de root e, em certas circunstâncias, conseguem escapar de containers. O bug afeta distribuições populares, como Debian, Ubuntu e Fedora, foi reportado aos desenvolvedores no dia 19 de maio, e está corrigido a partir do kernel 7.1-rc5 (de 21 de maio), com possibilidade de haver backport do patch correspondente para versões anteriores, dependendo da sua distribuição.

Referência: Linux Gets Dirty Again: DirtyClone Kernel Flaw Can Lead to Local Root Access

Vou confessar uma injustiça – sou usuário do Firefox há mais de 20 anos e contive um bocejo quando vi a chamada para essa lista do It's Foss, porém fui olhar, e o primeiro item já me interessou: split view de duas abas.

A imagem acima ilustra: são duas abas abertas ao mesmo tempo, com metade da janela para cada uma, em um bom uso do meu monitor largo. E é só selecionar as duas abas com a tecla Control pressionada, e usar o menu de contexto (botão direito) em uma delas, para ativar o modo "exibição dividida".

O restante da lista não me surpreendeu, mas vários dos recursos apresentados são úteis, mesmo quando não são novidade, e merecem a leitura, ainda mais numa sexta-feira.

Referência: Firefox Can Do All This? 21 Features Most Users Never Touch

Julio Neves (sushellsoθgmail⸱com), o Papai do Shell, dispensa apresentações – e enviou o aviso de inscrições abertas para a 45ª edição do seu curso Shell Script Completão, que começa em julho, e será a última turma com o valor atual: o curso está há três anos sem reajuste de preço.

O Shell Completão é um curso intensivo de Shell Script com carga horária de 40 horas distribuídas em 5 semanas, com aulas ao vivo e gravadas, acesso vitalício ao conteúdo e suporte direto do próprio Julio Neves. O programa cobre desde os fundamentos — execução de comandos, manipulação de arquivos, variáveis, redirecionamentos — até ferramentas e técnicas usadas no dia a dia de profissionais de infraestrutura, DevOps, segurança, dados e desenvolvimento, como sed, grep, loops e estruturas condicionais.

O objetivo do curso vai além de ensinar comandos: é desenvolver um raciocínio de automação. "Shell Script é, antes de tudo, um modelo mental", e dominar a ferramenta segue sendo um diferencial de empregabilidade no mercado de tecnologia. Interessados em obter informações sobre vagas, valores e conteúdo programático da turma de julho devem: Acessar o perfil de Julio Cezar Neves no LinkedIn; enviar um convite de conexão (caso ainda não sejam conectados); e enviar uma mensagem direta perguntando sobre as vagas da próxima edição do curso.

Referência: Perfil do Júlio Neves

A combinação de teclas Alt + SysRq como comando de recuperação do Linux em condições extremas foi criada no final do século passado, em um momento em que era comum o sistema travar em modo gráfico, negando ao usuário o acesso ao console de texto que permitiria dar fim ao processo que travou, preservar os arquivos, ou mesmo reiniciar sem ser por meio do botão liga/desliga.

Como muitos outros recursos destinados à recuperação em situações incomuns, trata-se de uma ferramenta pouco conhecida, ainda mais por não ser algo fornecido por um aplicativo ou servidor - é definido e tratado no próprio kernel.

Mas está à disposição, e sugiro que você conheça, pratique antes de precisar e, especialmente, se certifique de que o seu teclado ainda tem uma tecla SysRq (geralmente ela é a mesma que a Print Screen), ou ao menos se a sua funcionalidade está disponível por meio de algum combo da tecla Fn.

O mecanismo é simples: você pressiona Alt+SysRq, seguido de uma letra ou número que identifica um comando; o kernel intercepta a tecla, e executa esse comando.

A tabela de comandos é extensa, mas para recuperar um sistema travado, geralmente a sequência é:

1. Alt+SysRq r: recupera o controle do teclado
2. Alt+SysRq e: dá a todos os processos a oportunidade de encerrarem normalmente
3. Alt+SysRq i: termina à força os processos que não tiverem encerrado
4. Alt+SysRq s: sincroniza todos os discos, esvaziando buffers
5. Alt+SysRq u: coloca todos os sistemas de arquivo em modo somente-leitura
6. Alt+SysRq b: reinicia o sistema

Para se certificar de que o recurso está ativado no seu sistema, use 'cat /proc/sys/kernel/sysrq' - a resposta '1' indica ativação, '0' indica desativação, e outros valores indicam ativação parcial.

Os detalhes você encontra neste interessante artigo do OSTechNix: How to Use Linux Magic SysRq Key to Recover Frozen System

Vocês não me verão fazer divulgação do sistema que tem por trás uma pessoa tão nefasta, mas o fato de que a versão pelada do Brave está sendo oferecida grátis para rodar no Linux é digna de menção.

Sem surpresas aqui: é comum a estratégia de oferecer seu produto gratuitamente para ter maior acesso a um segmento de mercado em que há maior rejeição a ele, e também é fácil lembrar de outros exemplos de dinâmicas em que experimentar é grátis.

Se você quiser saber mais, o It's Foss mordeu a isca e publicou uma análise do que está incluído nessa versão gratuita.

A mim, o preço desse navegador pouco interessa, exceto como lembrete de que tem valor lembrar do histórico: nos bons tempos da Mozilla, a decisão de colocar o atual fundador do Brave como CEO motivou boicotes internos até que ele renunciasse, e a diretoria pediu desculpas por não ter sido mais atuante.

Referência: Linux Users Get This For Free! Brave Origin Costs $59.99 For Everyone Else

A versão 26.06 do PostMarketOS chega com um objetivo valoroso: oferecer um ciclo de utilidade prática de 10 anos para os smartphones. Os desenvolvedores já avançaram bastante (estão na estrada desde 2016), mas alertam: o sistema ainda não está no nível de estabilidade e usabilidade do iOS e Android, embora se aproxime cada vez mais.

A nova versão é baseada no Alpine Linux 3.24, e traz o GNOME 50 em instalações Desktop (e uma versão mais caprichada do GNOME 48 em dispositivos móveis), bem como o KDE Plasma 6.6.5. Debaixo do capô, o boot ficou mais bonito e informativo, o systemd foi atualizado, e o doas foi substituído pelo sudo-rs, entre outras mudanças.

Entre os dispositivos suportados na categoria Community, temos Google Pixel 3A e 3A XL, OnePlus 6 e 6T, Nokia N900(!), ODroid XU4, Samsung Galaxy S9, Xiaomi Poco F1, Lenovo ThinkPad X13S, vários Chromebooks, e uma série de outros nomes conhecidos e menos conhecidos, além de 254 modelos (alguns deles bem populares) na categoria Testing.

Referência: postmarketOS // v26.06: Alpen Avocado

Em uma web cada vez mais sufocada pelo tráfego de bots e agentes, a Cloudflare propõe que os navegadores assinem um pacto com ela, e a Mozilla morde a isca – junto à Google e à Microsoft.

A Cloudflare anunciou como um triunfo a adesão da Mozilla, Chrome e Edge ao seu pacto que a transforma na fiadora de que o tráfego é mesmo gerado por uma pessoa (ou por um “bot autorizado”, nas palavras dela).

E a Cloudflare e seus cavaleiros farão isso, veja só, por meio de “tokens anônimos” a serem distribuídos por sites de comércio eletrônico ou outros que tenham meios de avaliar a “pessoalidade” de cada interação.

Ou seja: você faz uma transação on-line num site que conhece seu cartão de crédito ou documentação, e ganha fichas "anônimas" garantidas pela Cloudflare, comprovando que você é mesmo uma pessoa, aí as usa automaticamente para ser aceito como pessoa também por outros sites que não conheçam o seu cartão de crédito e os seus documentos.

Essas fichas de acesso à web controlada pela Cloudflare serão chamadas de Private Access Control Tokens (PACT), e terão a função de fundamentar “um protocolo de preservação de privacidade para ajudar humanos e bots a provar que seu tráfego não é malicioso”.

Distópico, não? Não surpreende que a Mozilla de 2026 tenha aderido. Além de colocar uma condição transacional para comprovação de algo que ninguém deveria ter que comprovar, ainda centraliza numa empresa a emissão e garantia dessa comprovação.

Referência: Cloudflare, Inc. - Cloudflare Collaborates With Leading Browsers to Develop a Privacy-First Protocol For the Global Internet

O fundamental fwupd, adotado por variadas distribuições e também por fabricantes de computadores, atualizou sua série 2.0 com mais de 200 correções acumuladas, trazidas da série 2.1.

As versões correntes do fwupd são as da série 2.1, mas várias distribuições ainda suportam usuários que instalaram o fwupd 2.0.x, e é a elas que se destina essa atualização.

Repositórios e instaladores de firmware são um vetor importante para a atuação de malwares, razão pela qual o fwupd (e o LVFS, cria do mesmo desenvolvedor, Richard Hugues) tem recebido muita atenção em termos de atualização e correções de vulnerabilidades.

Referência: Release 2.0.21 · fwupd/fwupd

Novo post de Igor Giamoniano na Sociedade Pinguim:

Steam, Proton, drivers melhores e comunidades mais ativas tornaram a experiência muito mais acessível. Quer jogar no Linux e não sabe qual distribuição escolher? Que tal Linux Mint ou Nobara? Descubra qual é a ideal para você!

Referência: Nobara ou Linux Mint: qual a melhor distro para jogos em 2026? - Sociedade Pinguim

Saiu hoje a versão 9.1 do nano, sem grandes novidades em termos de recursos, mas marcando a primeira atualização desde o início da série 9.0, em abril deste ano.

O editor Nano, que roda no terminal em modo texto, é leve em recursos, tem usabilidade caprichada e é sucessor do clássico Pico, traz em sua nova versão algumas atualizações na marcação de sintaxe para linguagens como Lua e C, e melhorias no tratamento dos arquivos de backup criados automaticamente, tanto em operações normais de salvamento, quanto em situações emergenciais, na tentativa de preservar o conteúdo caso o sistema sofra alguma pane ou interrupção.

Referência: nano – News

Todos sabemos que, na sigla IoT, a letra S significa a Segurança, e a LG e a Samsung nos dão mais um motivo para perceber isso: 1/3 de uma amostra das suas Smart TVs investigadas estavam com proxies instalados.

Não é exatamente uma botnet: nesse caso, são apps gratuitos (como simuladores de aquários ou de lareiras, ou versões de jogos clássicos como o Pac-Man) que, na instalação, colocam um discreto e vago aviso de que os "recursos de conectividade livres" da TV serão utilizados enquanto o app estiver rodando.

O usuário dá ok, nunca mais vê esse aviso, e a sua TV se transforma em um intermediário para empresas e indivíduos que alugam, do fornecedor do app, essa frota de equipamentos para finalidades diversas - como fazer scan anônimo de sites para agregar seus conteúdos, ou fingir que estão clicando em anúncios, por exemplo.

Nesse nível básico, já não se trata de algo inocente. Mas a coisa se complica quando esse serviço de proxy sofre abusos, e vira canal para a prática de crimes, ou mesmo porta de entrada para outros dispositivos na rede da casa ou empresa que instalou essa TV – como já aconteceu, por exemplo, com a botnet Kimwolf.

Usuários de smart TVs da Samsung e LG, saibam: trata-se de uma escolha. Outros fabricantes, como Amazon e Roku, explicitamente proíbem que esse tipo de recurso seja incluído nos apps distribuídos para rodar em seus dispositivos. Já a LG e a Samsung não apenas permitem, como os distribuem.

Referência: Nearly Half of LG Smart TV Apps Contain Residential Proxy SDKs

Saíram ontem os preços da Steam Machine, e até a Valve reconhece que montar a sua própria máquina pode ser a opção superior – como uma breve ida às listas de preços de peças confirma.

Nós brasileiros precisamos considerar mais coisas nessa análise, porque tem logística internacional e tributação envolvida, além do fato de que a Valve não oferece a Steam Machine no nosso mercado (ao contrário das peças para a montagem, que poderiam ser compradas localmente, se alguém preferisse).

Claro que essa percepção vai estimular o surgimento de diversos tutoriais e comparativos, e essa tendência já se manifestou ontem mesmo, poucas horas após o anúncio do preço oficial, com esse artigo do TechRadar listando desde o gabinete até a CPU, GPU, memória e armazenamento para quem quiser montar seu similar, com desempenho superior e pagando menos.

Muitos outros virão, seguramente.

Referência: Disappointed by the Steam Machine’s official price? Build your own mini gaming PC instead with these deals | TechRadar

Criar cyberdecks, terminais portáteis e outros computadores para levar no bolso é tendência mundial, mas existe um atalho: comprar um pronto.

Claro que não tem nem metade da graça, e os produtos não tem 10% do charme de um modelo personalizado, mas às vezes optar por um produto do mercado faz sentido (quando o orçamento e a logística são compatíveis), e este artigo do It's Foss detalha 6 das opções à venda: Hackberry Pi CM5, PocketTerm 35, Pi Slate, uConsole, Cybert (foto) e Strike.

Eu também embarquei nesta onda, mas o meu terminal portátil não é para levar no bolso, e sim em um estojo, porque o meu caso de uso envolve digitação, e faço questão de teclas de tamanho padrão. Ele ainda não está pronto, mas já alcançou um estágio em que consigo usá-lo, e estou gostando demais da experiência de especificar e integrar o hardware, e desenvolver a camada que falta no software, bem com calma.

Referência: 6 Raspberry Pi Handhelds Worth Exploring (If You Have Money to Spend)

O computador de mesa da Valve voltado especificamente para os jogos ficou um pouco menos vaporoso hoje, com a confirmação oficial dos preços, que vão variar entre 1049 e 1428 dólares, dependendo de quanto armazenamento e se o usuário deseja um controle ou não.

Anunciada em novembro, a Steam Machine promete ser um computador de mesa que não esquenta nem faz barulho de ventoinha durante os jogos, e foi projetado especificamente para rodar os jogos da Steam.

Uma fila para interessados foi aberta, mas não inclui nenhuma hipótese de venda direta para o Brasil até o momento – o que não surpreende, dada a falta de opção disponível para os outros hardwares de jogos da empresa, há anos.