Состоялся экспериментальный выпуск открытой реализации Win32 API — Wine 3.13. С момента выпуска версии 3.13 было закрыто 36 отчётов об ошибках и внесено 352 изменения. Наиболее важные изменения: Реализована поддержка распаковки текстур DXTn; Добавлена поддержка отложенной установки пакетов MSI; Продолжено улучшение реализации штатного диалога TaskDialog; В Shell32 добавлены дополнительные пиктограммы; Закрыты отчёты об ошибках, связанные с работой игр и приложений: Chaos League, RegEditX 2.x/3.x, Civilization V, Guild Wars, Heroes of Might and Magic V, Cube World, Adobe CS4, Mentor Graphics DK Design Suite 5.3/5.4, Zwei, Acronis Disk Director 12, Irfanview 4.x, Rekordbox 5.3.0. Источник. Читать далее Выпуск Wine 3.14

После инцидента с отправкой дополнением «Web Security» информации об открываемых пользователем страницах, инженеры Mozilla провели расследование и выявили ещё три дополнения (Browser Security, Browser Privacy и Browser Safety), которые также были заявлены как обеспечивающие дополнительную защиту конфиденциальных данных пользователя, а на деле отправляли на внешний сервер информацию о всех открываемых пользователем страницах (во всех случаях данные отправлялись на хост 136.243.163.73). Более того, в каталоге AMO выявлено ещё 19 дополнений, осуществляющих отправку на внешние серверы данных с историей посещений. Используемый в данных дополнениях код и метод отправки данных достаточно близок к коду из «Web Security», что свидетельствует о наличии единой схемы … Читать далее Компания Mozilla заблокировала 23 дополнения, отсылающих данные о посещениях

Разработчики Lubuntu опубликовали план перевода дистрибутива на систему Wayland вместо традиционного X-сервера. Переход будет выполнен через портирование оконного менеджера Openbox на использование дисплейного сервера Mir, применяемого в качестве композитного сервера для Wayland, и задействование API QtLayerShell. Для запуска X-приложений в окружении на базе Wayland будет применяться DDX-компонент XWayland. Переход на Wayland запланирован на выпуск Lubuntu 20.10, который выйдет осенью 2020 года. Напомним, что в Lubuntu 18.10 запланирован переход на рабочий стол LXQt (Qt Lightweight Desktop Environment), базирующийся на Qt и развиваемый объединенной командой разработчиков проектов LXDE, Razor-qt и Hawaii. Источник. Читать далее Lubuntu переходит на Wayland

Состоялся релиз web-браузера Pale Moon 28.0, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере оставлена поддержка технологии XUL, дополнений Jetpack Jetpack и NPAPI-плагинов. … Читать далее Выпуск браузера Pale Moon 28.0

Доступен релиз набора KDE Applications 18.08, включающего подборку пользовательских приложений, адаптированных для работы с KDE Frameworks 5. Набор KDE Applications пришёл на смену приложениям из состава KDE SC, которые теперь развиваются в рамках отдельного цикла разработки, не привязанного к веткам KDE, и выпускаются по новой схеме нумерации версий. Информацию о наличии Live-сборок с новым выпуском можно получить на данной странице. Основные новшества: Расширены возможности файлового менеджера Dolphin: Модернизировано оформление конфигуратора. Устранены утечки памяти, негативно влиявшие на производительность. При просмотре корзины прекращено отображение меню ‘Create New’. Интерфейс лучше адаптирован для оптимальной работы при высоких разрешениях экрана. В контекстное меню добавлены опции … Читать далее Выпуск KDE Applications 18.08

Разработчики фреймворка для создания трёхмерных веб-приложений Verge3D опубликовали плагин для экспорта моделей под свободной лицензией GPLv3. Данный плагин для трёхмерного пакета Blender позволяет экспортировать модели в формате glTF 2.0 и создавать трёхмерный контент для публикации в социальной сети Facebook. Форма трёхмерных данных glTF разрабатывается консорциумом Khronos с 2015 года и призван стать единым стандартом для экспорта и обмена 3D контентом в интернете. Поддержка стандарта уже реализована во многих движках и пакетах моделирования. Источник. Читать далее Дополнение из состава 3D-фреймворка Verge3D опубликовано под свободной лицензией

Пользователи игрового сервиса Steam заметили среди файлов с описанием элементов интерфейса появление упоминания новой прослойки Steam Play, нацеленной на запуск Windows-игр в окружении SteamOS на базе Linux. Steam Play пока официально не анонсирован и не документирован, но, судя по описанию в GUI-файлах, обеспечит автоматическую установку инструментария для обеспечения совместимости, позволяющего запускать игры независимо от используемой операционной системы. Предполагается, что инструментарий будет основан на наработках проекта Wine. Источник. Читать далее Выявлены следы работы Valve над инструментарием для запуска Windows игр в Linux

Проект Debian празднует своё двадцатипятилетие. Дистрибутив был впервые анонсирован Яном Мёрдоком (Ian Murdoch) 16 августа 1993 года в списке рассылки comp.os.linux.development. Первичной задачей проекта была разработка дистрибутива, развиваемого в соответствии с духом полной открытости, свойственной Linux и GNU, а также стремление к техническому совершенству и надёжности. За время существования Debian было выпущено 15 релизов, обеспечена поддержка 30 аппаратных архитектур, сформирован репозиторий из более чем 40 тысяч пакетов. В проект вовлечено более 1000 разработчиков, на технологиях Debian построено около 150 производных дистрибутивов, не считая многочисленных ответвлений от таких основанных на Debian дистрибутивов, как Ubuntu. Источник. Читать далее Debian GNU/Linux исполнилось 25 лет

В OpenSSH выявлена проблема с безопасностью, позволяющая удалённому атакующему определить существует ли пользователей с данным именем в системе. Метод базируется на разности поведения при обработке запроса на аутентификацию для существующего и неизвестного пользователя. Атакующий может отправить некорректный запрос аутентификации (например, отправить повреждённый пакет), в случае отсутствия пользователя в системе выполнение функции userauth_pubkey() завершиться сразу с отправкой ответа SSH2_MSG_USERAUTH_FAILURE. Если пользователь присутствует в системе произойдёт сбой при вызове функции sshpkt_get_u8() и сервер просто молча закроет соединение. Напомним, что для противодействия попыткам перебора пользователей в OpenSSH присутствует защита — для несуществующих пользователей выполняется проверка по фиктивному хэшу пароля, что позволяет выровнять время … Читать далее Уязвимость в OpenSSH, позволяющая определить наличие пользователей

В Firefox-дополнении Web Security, насчитывающем более 220 тысяч установок и входившем в список рекомендованных Mozilla дополнений для охраны частной жизни пользователя (после инцидента дополнение уже удалено из этого списка), выявлена недокументированная сетевая активность, в результате которой на сторонний сервер отправлялись данные о всех страницах, открываемых пользователем. Разработчики дополнения попытались оправдать отправку данных выполнением проверки URL по чёрным спискам на стороне сервера для блокирования сайтов с вредоносным контентом, но обычно для подобных целей отправляются хэши от URL, а на ссылки в открытом виде. Более того, отправка данных производилась в привязке к идентификатору пользователя и также передавался прошлый URL, с которого был … Читать далее В Firefox-дополнении Web Security выявлена отправка информации о посещениях

Компания Oracle сформировала корректирующий релиз системы виртуализации VirtualBox 5.2.18, в котором отмечено 4 исправления. В новой версии внесены изменения в Virtual Machine Manager (VMM), устранена проблема с загрузкой через VMM свежих версий binutils и собственных сборок VirtualBox, решены проблемы с работой режима трансляции адресов «—nataliasmode sameports», устранена проблема с завершением процесса виртуальной машины при отсоединении клиента VRDP при включенной поддержке 3D. Источник. Читать далее Релиз системы виртуализации VirtualBox 5.2.18

Следом за выявленной на прошлой неделе DoS-уязвимости SegmentSmack в TCP-стеках различных операционных систем, опубликована информация о другой похожей уязвимости (CVE-2018-5391, кодовое имя FragmentSmack), которая также позволяет организовать отказ в обслуживании через отправку специально оформленного набора сетевых пакетов, при обработке которого будут заняты все реcурсы CPU. Если первая уязвимость была связана с неэффективностью алгоритма обработки TCP-сегментов, то новая проблема затрагивает алгоритм пересборки фрагментированных IP-пакетов. Атака осуществляется через отправку потока фрагментированных IP-пакетов, в каждом из которых смещение фрагмента установлено случайным образом. В отличие от прошлой уязвимости SegmentSmack, в FragmentSmack возможно совершение атаки с использованием спуфинга (отправки пакетов с указанием несуществующего IP). При … Читать далее Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и FreeBSD

Представлен релиз проекта QEMU 3.0.0. Значительное изменение номера версии связано с переходом проекта на новую схему нумерацию выпусков, в соответствии с которой первая цифра в номере версии будет увеличиваться раз в год. Никаких кардинальных изменений или нарушений совместимости изменение первой цифры не отражает. В качестве эмулятора QEMU позволяет запустить программу, собранную для одной аппаратной платформы, на системе с совершенно иной архитектурой, например, выполнить приложение для ARM на x86-совместимом ПК. В режиме виртуализации в QEMU производительность выполнения кода в изолированном окружении близка к нативной системе за счёт прямого выполнения инструкций на CPU и задействования гипервизора Xen или модуля KVM. Изначально проект … Читать далее Релиз эмулятора QEMU 3.0

Компания Intel раскрыла сведения о группе уязвимостей в механизме спекулятивного выполнения CPU, представленных под кодовым именем Foreshadow или L1 Terminal Fault (L1TF). Уязвимости манипулируют тем, что при доступе к памяти по виртуальному адресу, приводящему к исключению (terminal page fault) из-за отсутствия флага Present в таблице страниц памяти, процессоры Intel спекулятивно рассчитывают физический адрес и загружают данные, если они имеются в L1-кэше. Спекулятивное обращение выполняется до завершения перебора таблицы страниц памяти и независимо от состояния записи в таблице страниц памяти (PTE), т.е. до проверки наличия данных в физической памяти и их доступности для чтения. После завершения проверки доступности памяти, в случае … Читать далее L1TF

После нескольких месяцев затишья произошел релиз открытой биллинговой системы Ubilling, выступающий надстройкой над ядром Stargazer, свободной системы учёта и авторизации в локальных, домашних и офисных сетях, написанной на C. Код веб-интерфейса Ubilling написан на PHP и распространяется под лицензией GPLv2. Для предварительного ознакомления с системой запущен демонстрационный web-интерфейс. Среди основных изменений: Модуль «Печать документов»: при создании документов на основе публичных шаблонов, чекбокс публичности теперь по умолчанию установлен. Модуль «Печать документов»: добавлена возможность редактировать имя и публичность существующих шаблонов docx. Модуль «Помощник прокрастинации»: сильно переработан, теперь прокрастинировать можно намного эффективнее. Модуль «Живи с этим»: изменен процесс логирования выполненных задач. Теперь в … Читать далее Новый стабильный релиз открытой биллинговой системы Ubilling 0.9.1

Подготовлены корректирующие выпуски пакета Samba 4.8.4, 4.7.9 и 4.6.16, в которых устранено несколько уязвимостей: CVE-2018-1139 — позволяет применить для аутентификации устаревший алгоритм NTLMv1, даже если он отключен в настройках; CVE-2018-1140 — отсутствие проверки на нулевой указатель может привести к краху Samba AD DC при отправке определённым образом оформленных запросов через DNS или LDAP; CVE-2018-10858 — при обращении клиента к серверу, подконтрольному злоумышленнику, возможно повреждение областей памяти libsmbclient; CVE-2018-10918 — отсутствие проверки на нулевой указатель может привести к краху Samba AD DC через отправку аутентифицированного запроса через DRSUAPI RPC; CVE-2018-10919 — отсутствие проверки прав доступа позволяет выяснить значения конфиденциальных атрибутов через … Читать далее Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимостей

Компания Kryptowire представила на конференции DEF CON результаты своего исследования прошивок различных Android-смартфонов, в результате которого было выявлено 47 уязвимостей, затрагивающих 27 различных моделей смартфонов от Alcatel, ASUSE, LG, ZTE, Sony, Nokia, Orbic, Oppo, MXQ и ряда других производителей. Уязвимости достаточно разноплановые, от инициирования краха прошивки, очистки всех данных пользователя и скрытого создания скриншотов или записи видео содержимого экрана, до получения root-привилегий, установки приложений без ведома пользователя, неавторизированной отправки SMS и доступа к адресной книге. Все выявленные уязвимости выходят за пределы штатной модели управления доступом Android и, как правило, затрагивают дополнительные надстройки и драйверы, добавленные производителями. Уязвимости выявлены в рамках … Читать далее 47 уязвимостей в Android-прошивках и новый вид атак Man-in-the-Disk

Доступен новый выпуск Launchpadd, программного аналога MIDI-контроллера для создания музыки с помощью кнопок (Pads) для смартфонов и планшетов на платформе Android. Программа поддерживает клиент-серверный режим, в котором ноты отправляются на компьютер, а далее в любую программу, которая поддерживает миди сокеты. Изменения: Добавлена функция загрузки пресетов по умолчанию из репозитория при первой установке приложения. Добавлено простейшее меню с возможностью менять преднастройки. Добавлена возможность менять преднастройки одновременно на клиенте и на сервере. (активировано по умолчанию) Удалены ненужные функции. (такие как вывод /proc/cpuinfo в консоль и прочее…) Добавлена поддержка альбомной ориентации. Значение «usemidi» было перемещено из основного файла настройки в файл настроек пресетов. … Читать далее Выпуск Launchpad Daemon 1.5, программного аналога MIDI-контроллера

Компания Blackmagic Design, специализирующаяся на производстве профессиональных видеокамер и систем обработки видео, опубликовала выпуск проприетарной системы цветокоррекции и нелинейного монтажа DaVinci Resolve 15, используемой многими известными голливудскими киностудиями в процессе производства фильмов, сериалов, рекламных роликов, телепрограмм и видеоклипов. DaVinci Resolve объединяет в одном приложении средства для монтажа, цветоустановки, наложения звука, финальной обработки и создания конечного продукта. Сборки DaVinci Resolve подготовлены для Linux, Windows и macOS. Для загрузки требуется регистрация. Бесплатная версия имеет ограничения, связанные с выпуском продукции для коммерческого кинопоказа в кинотеатрах (монтаж и цветокоррекция 3D-кино, сверхвысокие разрешения и т.п.), но не ограничивает базовые возможности пакета, поддержку профессиональных форматов для … Читать далее Релиз профессионального видеоредактора DaVinci Resolve 15

Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил формирование RFC для протокола TLS 1.3 и опубликовал связанную с ним спецификацию под идентификатором RFC 8446. RFC получил статус «Предложенного стандарта», после чего начнётся работа по приданию RFC статуса чернового стандарта (Draft Standard), фактически означающего полную стабилизацию протокола и учёт всех высказанных замечаний. Установка защищённых соединений с использованием TLS 1.3 уже поддерживается в Firefox и Chrome, и реализована в ветке OpenSSL 1.1.1, которая пока находится на стадии тестирования. О включении поддержки TLS 1.3 на своих серверах заявили компании Cloudflare, Google и Facebook. Facebook отмечает, что уже около … Читать далее Опубликован RFC для TLS 1.3

Участники команды KDE Restoration Project, ведущие работу по портированию KDE 1 и KDE 2 для работы в современных дистрибутивах, выполнили портирование библиотеки Qt 1, переведённой на сборку с использованием Cmake. Работающий на современных ситемах порт Qt 1 опубликован на GitHub. Конечной целью проекта является предоставление возможности запуска полноценного рабочего стола KDE 1. Источник. Читать далее Представлен порт Qt 1 для современных систем