На этой неделе вышла версия OrcaSlicer 2.3.2, содержащая внушительный список улучшений и исправлений, включая, что особенно важно, исправление уязвимости безопасности, связанной с файлами 3MF, а также широкий набор улучшений, повышающих удобство использования программы для пользователей Linux.
Информация, представленная в примечаниях к выпуску на GitHub, относится к исправлению, которое предотвращает запись файлов .3mf — всё более распространённых в сложных проектах с многоформатной или многоцветной печатью — в произвольные места в вашей системе, что потенциально может привести к выполнению вредоносного кода.
Файлы 3MF, по сути, представляют собой разновидность ZIP-архива. Вы никогда не взаимодействуете с ними так же, как с обычным ZIP-архивом, потому что ваш слайсер аккуратно распаковывает их в фоновом режиме. Этот тип уязвимости, известный в просторечии как « zip-slip », извлекает из этого выгоду.
SoftFever, ведущий разработчик OrcaSlicer, рассказал нам:
«Проще говоря: злоумышленник может создать специально разработанный файл .3mf, который при открытии в Orca Slicer будет незаметно записывать файлы, контролируемые злоумышленником, в произвольные места на диске пользователя — вне тех мест, которые OrcaSlicer должен обрабатывать…» Они продолжают: «Простое открытие «файла проекта» из ненадежного источника может скомпрометировать вашу машину».
Теоретически, такие файлы могут быть загружены в репозитории моделей, выглядеть и функционировать как обычные файлы для печати и использовать уязвимость вашей системы при их загрузке и использовании. Нам неизвестно ни одного случая использования этой уязвимости в реальных условиях.
«Проблема была ответственно доведена до нашего сведения пользователем ‘Zekun Shen’, который заслуживает большой похвалы — он предоставил тщательный анализ, работающее доказательство концепции и даже подробные шаги по созданию такого вредоносного файла .3mf», — продолжает SoftFever. «Это значительно упростило нам понимание всего масштаба проблемы и позволило быстро устранить её».
Поскольку Orca Slicer является форком Bambu Studio, которая, в свою очередь, основана на PrusaSlicer, возникает очевидный вопрос: существует ли эта уязвимость и в этих слайсерах? SoftFever сообщает, что проблема была унаследована от первоначального форка Bambu Studio.
Представитель Bambu Lab сообщил нам, что «Bambu Studio не содержит этой уязвимости». Мы пока не получили ответа от Prusa, существует ли подобная проблема и в их слайсере. Логично предположить, что слайсеры, созданные на основе версий Orca до V2.3.2, также должны будут включить это исправление в свой код, если они еще этого не сделали.
Что нового в Orca Slicer?
Пожалуй, наибольшую выгоду от этого релиза получат пользователи Linux. В версии 2.3.2 исправлен ряд специфических для платформы проблем, затрагивающих пользователей настольных компьютеров Linux: исправлены ошибки отображения черного экрана, ошибка дублирования заголовка окна в некоторых оконных менеджерах и неполная поддержка Wayland.
Пожалуй, наиболее важным для опытных пользователей является исправление интерфейса командной строки (CLI), используемого операторами печатных ферм и теми, кто запускает автоматизированные процессы нарезки.
Помимо устранения уязвимости 3MF и проявления заботы о пользователях Linux, в этом новом релизе Orca Slicer добавлены несколько новых функций для дальнейшей настройки и улучшения пользовательского опыта.
Для многоматериальных конфигураций с одним экструдером, использующих промывочную башню для обеспечения качественной печати, добавлен второй тип промывочной башни. Раньше тип башни зависел от модели принтера, но теперь у вас есть выбор. «Тип 1» по-прежнему является вариантом по умолчанию для принтеров Bambu Lab и Qidi Tech, но разработчики рекомендуют всем остальным владельцам 3D-принтеров с MMU-модулем, возможностью обрезки нити и смены инструмента использовать башню «Тип 2».
Дополнительные изменения включают в себя доработки пользовательского интерфейса и пользовательского опыта, а также множество новых профилей принтеров и материалов. Подробный обзор всего, что есть в OrcaSlicer v2.3.2, можно найти в примечаниях к выпуску на GitHub. Или же перейдите на официальный сайт. (Остерегайтесь подделок — их очень много. Только orcaslicer.com — это настоящий сайт.)
Центр 3d печати и 3д сканирования Фидллер в Краснодаре — 3d сканирование, 3d печать, реверс инжиниринг, проекты для ферм 3d печати, обучение, проектирование для строительства. Теперь полный цикл «принцип одного окна». Более 10 лет успешной разработки в сфере аддитивных технологиях. Мы знаем как это работает.
По всем вопросам обращаться (круглосуточно):
телеграм — https://t.me/fidller
max — https://max.ru/u/f9LHodD0cOIGiBB1zqbYHFbw7XCslKRI5o6aikK4IGNDZtFio4aCgGJ1gUQ
почта — shope@fidller.com
вк — https://vk.com/3d_krd_123
группа в max https://max.ru/join/VFTRpp8v45PETzoL4RDGQi44sSjpSvRz5kDtyeyXiQE
Наши ресурсы:
все о кино тут — https://news.fidller.com
наш магазин — https://fidller.com
мы в телеграм — https://t.me/pechat3dkrd
группа 3д печати — https://vk.com/3d_krd_123
Спасибо!
Теперь редакторы в курсе.