Исследователи безопасности из компании Embedi раскрыли информацию об уязвимостях в платформе ThreadX RTOS, активно применяемой для обеспечения работы прошивок различных специализированных одночиповых систем, в том числе чипов для организации беспроводных коммуникаций. Прошивки на базе ThreadX используются в более чем 6 миллиардах различных промышленных и потребительских устройств. На примере беспроводного чипсета Marvell Avastar 88w8897 продемонстрирована возможность совершения реальной удалённой атаки, позволяющей выполнить код с привилегиями ядра операционной системы через отправку специально оформленного WiFi-пакета. Эксплуатация уязвимости в RTOS-окружении ThreadX позволяет получить контроль над программным окружением, в котором выполняется прошивка (современные WiFi чипы реализуются на базе архитектуры FullMAC, подразумевающей наличие специализированного процессора, на … Читать далее Уязвимость в прошивках на базе ThreadX, позволяющая атаковать различные устройства через WiFi

Состоялся релиз языка системного программирования Rust 1.32, развиваемого проектом Mozilla. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime. Автоматическое управление памятью в Rust избавляет разработчика от манипулирования указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo, позволяющий получить нужные для программы библиотеки в один клик. Для … Читать далее Релиз языка программирования Rust 1.32

Опубликован релиз свободного векторного графического редактора Inkscape 0.92.4 и одновременно альфа-выпуск новой значительной ветки 1.0. Редактор предоставляет гибкие инструменты для рисования и обеспечивает поддержку чтения и сохранения изображений в форматах SVG, OpenDocument Drawing, DXF, WMF, EMF, sk1, PDF, EPS, PostScript и PNG. Готовые сборки Inkscape 0.92.4 подготовлены для Linux (универсальный AppImage, Snap и PPA для Ubuntu) и Windows. Альфа-выпуск 1.0 доступен в форматах AppImage и Snap. Основные новшества Inkscape 0.92.4: Возможность выравнивания нескольких объектов, манипулируя ими как целостной группой, перемещаемой относительно одного отдельного объекта; Возможность пошагового изменения значений при выборе цвета через удерживание клавиши «Ctrl» во время перемещения ползунка (по … Читать далее Выпуск редактора векторной графики Inkscape 0.92.4 и начало тестирования ветки 1.0

На состоявшемся на днях заседании акционеров компании Red Hat были согласованы условия сделки о продаже бизнеса Red Hat компании IBM. Владельцы 141 млн акций Red Hat проголосовали за проведение сделки, против высказались владельцы 181 тысячи акций, а обладатели 462 тысяч акций воздержались. Ранее в октябре сделка была согласована на уровне советов директоров Red Hat и IBM. До завершения сделки остаётся получить разрешение антимонопольных служб стран, в которых зарегистрированы компании. Сделку планируется завершить во втором квартале 2019 года. Сумма сделки составит приблизительно 34 миллиарда долларов, в расчёте 190 долларов за акцию (сейчас стоимость акции Red Hat составляет 175 долларов, а на … Читать далее Акционеры Red Hat одобрили сделку по продаже бизнеса компании IBM

Компания Jolla, основанная бывшими сотрудниками Nokia с целью разработки новых смартфонов, построенных на базе Linux-платформы MeeGo, опубликовала релиз операционной системы Sailfish 3.0.1. Сборки подготовлены для устройств Jolla 1, Jolla C, Sony Xperia X, Xperia XA2, Xperia XA2 Ultra и Xperia XA2 Plus, и уже доступны в форме OTA-обновления. Sailfish использует графический стек на базе Wayland и библиотеки Qt5, системное окружение построено на основе Mer (форк MeeGo) и пакетов Mer-дистрибутива Nemo. Пользовательская оболочка, базовые мобильные приложения, QML-компоненты построения графического интерфейса Silica, прослойка для запуска Andrоid-приложений, движок умного ввода текста и система синхронизации данных являются проприетарными, но их код планировалось открыть ещё … Читать далее Выпуск мобильной ОС Sailfish 3.0.1

Разработчик сервиса проверки скомпрометированных паролей haveibeenpwned.com, выполняющего проверку по базе в 6.4 миллиардах учётных записей, похищенных в результате взломов более 340 сайтов, сообщил о получении одного из крупнейших списков взломанных учётных данных, который был размещён на файлообменнике mega.nz и анонсирован на одном из хакерских форумов. Полученная база включает 2.69 миллиарда записей и охватывает около 773 млн email-адресов и связанных с ними паролей. 110 млн email-адресов ранее не присутствовали в базе haveibeenpwned.com и информация по их компрометации получена впервые. Всего в базе содержится 1.16 млрд уникальных комбинаций из email и паролей. Пароли приведены в открытом виде. После распаковки БД занимает на … Читать далее Выявлена база скомпрометированных учётных записей, охватывающая 773 млн пользователей

Компания Google предупредила разработчиков приложений для платформы Android о новых требованиях, связанных с формированием 64-разрядных сборок. Начиная с 1 августа 2019 года при размещении в Google Play приложений или обновлений, содержащих нативный код, станет обязательным наличие пакета для 64-разрядных CPU в дополнение к 32-разрядным сборкам (исключения сделаны только для обновлений игр на базе движка Unity 5.6). С первого августа 2021 года приложения с нативным кодом, не предоставляющие 64-разрядные сборки, не будут показываться в каталоге Google Play при обращении с устройств с 64-разрядными CPU. Новые требования не затрагивают приложения для платформ Wear OS и Android TV, а также apk-пакеты не поставляемые … Читать далее В Google Play поменяются правила, касающиеся 64-разрядных сборок, а также доступа к SMS и спискам звонков

Представлен релиз минималистичного web-браузера links 2.18, поддерживающего работу как в консольном, так и в графическом режимах. При работе консольном режиме возможно отображение цветов и управление мышью, если это поддерживается используемым терминалом (например, xterm). В графическом режиме поддерживается вывод изображений и сглаживание шрифтов. Во всех режимах обеспечено отображение таблиц и фреймов. Браузер поддерживает спецификацию HTML 4.0, но игнорирует CSS и JavaScript. Также имеется поддержка закладок, SSL/TLS, фоновых загрузок и управления через систему меню. При работе links потребляет около 2.5 Мб ОЗУ в текстовом режиме и 4.5 Мб в графическом. Среди улучшений, добавленных в новой версии: Поддержка работы в графическом режиме на … Читать далее Релиз минималистичного web-браузера links 2.18

Разработчики проекта Android-x86, в рамках которого силами независимого сообщества осуществляется портирование платформы Android для архитектуры x86, опубликовали первый стабильный выпуск сборки на базе платформы Android 8.1, в которую включены исправления и дополнения, обеспечивающие бесшовную работу на платформах с архитектурой x86. Для загрузки подготовлены универсальные Live-сборки Android-x86 8.1 для архитектур x86 32-bit (656 Мб) и x86_64 (546 Мб), пригодные для использования на типовых ноутбуках и планшетных ПК. Кроме того доступны сборки в виде rpm-пакетов для установки Android-окружения в дистрибутивах Linux. Основные новшества, специфичные для сборки Android-x86: В качестве альтернативного интерфейса для запуска программ предложена панель задач (Taskbar) с классическим меню приложений, … Читать далее Проект Android-x86 выпустил сборку Android 8.1 для платформы x86

Увидел свет релиз дистрибутива Deepin 15.9, основанного на пакетной базе Debian, но развивающего собственный рабочий стол Deepin Desktop Environment и около 30 пользовательских приложений, среди которых музыкальный проигрыватель DMusic, видеоплеер DMovie, система обмена сообщениями DTalk, инсталлятор и центр установки программ Deepin Software Center. Проект развивается группой разработчиков из Китая, но поддерживает и русский язык. Все наработки распространяются под лицензией GPLv3. Размер загрузочного iso-образа 2.2 Гб (amd64). Компоненты рабочего стола и приложения разрабатываются с использованием языков C/C++ и Go, но интерфейс формируется при помощи технологий HTML5 с использованием web-движка Chromium. Ключевой особенностью рабочего стола Deepin является панель, которая поддерживает несколько режимов … Читать далее Выпуск дистрибутива Deepin 15.9, развивающего собственное графическое окружение

Представлен первый стабильный выпуск операционной системы Trident, в рамках которого на базе технологий FreeBSD проектом TrueOS развивается готовый к использованию графический пользовательский дистрибутив, напоминающий старые выпуски PC-BSD и TrueOS. В рамках проекта Trident также теперь ведётся разработка графического окружения Lumina и всех ранее доступных в PC-BSD графических инструментов, таких как sysadm и AppCafe. Проект Trident был образован после трансформации TrueOS в обособленную модульную операционную систему, которую можно использовать в качестве платформы для других проектов. TrueOS позиционируется как «downstream» форк FreeBSD, модифицирующий базовый состав FreeBSD поддержкой таких технологий как OpenRC и LibreSSL. В процессе разработки проект придерживается шестимесячного цикла подготовки релизов … Читать далее Выпуск Trident 18.12, операционной системы от проекта TrueOS

Майкл Библь (Michael Biebl), участвующий в разработке Debian с 2004 года и один из основных участников перевода дистрибутива на системный менеджер systemd, демонстративно ушёл с поста мэйнтейрнера пакетов systemd в Debian, назвав сложившуюся ситуацию с исправлением ошибок в systemd глупостью и безумством, а также пообещав больше не отправлять разработчикам systemd отчёты об ошибках. Конфликт возник из-за появления в выпуске systemd 240 регрессивного изменения, приводящего к изменению поведения при обработке существующих правил udev и проблемам у пользователей Debian с изменением логики переименования сетевых интерфейсов — несмотря на использование опции NAME для привязки имени сетевого интерфейса к MAC-адресу после перехода на udev … Читать далее Systemd в Debian остался без мэйнтейнера из-за разногласий с разработчиками systemd

Динамический язык программирования Tcl (Tool Command Language) празднует своё тридцатилетие. В январе 1989 года был опубликован первый экспериментальный выпуск языка Tcl, предложенный для тестирования сторонним разработчикам. Tcl представляет собой динамический язык программирования, распространяемый совместно с кроссплатформенной библиотекой базовых элементов графического интерфейса Tk. Несмотря на то, что основное распространение Tcl получил для создания интерфейсов пользователя и как встраиваемый язык, Tcl также подходит для других задач, таких как web-разработка, создание сетевых приложений, администрирование систем и тестирование. Источник. Читать далее Языку Tcl исполнилось 30 лет

Разработчики Mozilla решили свернуть программу Test Pilot, в рамках которой пользователям давалась возможность оценить и протестировать экспериментальные функции, развиваемые для будущих выпусков Firefox. Начиная с 22 января Test Pilot прекратит свою работу, но все уже установленные экспериментальные возможности продолжат функционировать на системах пользователей. Предлагавшаяся для тестирования функциональность частично останется доступной в форме отдельных дополнений, доступных для установки из каталога addons.mozilla.org. Экспериментальные возможности, реализованные не в форме дополнений, такие как Firefox Lockbox (предоставляет доступ к сохранённым в Firefox логинам и паролям) и Firefox Send (инструмент для обмена файлами), продолжат своё развитие в виде отдельных продуктов, не привязанных к Firefox. Напомним, что … Читать далее Mozilla сворачивает программу Test Pilot и сервис Firefox Screenshots

Проект Fedora поместил лицензию SSPL (Server Side Public License), на которую в прошлом году была переведена СУБД MongoDB, в список несвободных лицензий. Таким образом, MongoDB и другие проекты на базе данной лицензии не смогут входить в состав официальных репозиториев Fedora, EPEL и COPRs. В качестве причины неприятия отмечается, что применение SSPL приводит к дискриминации отдельных категорий пользователей (провайдеров облачных сервисов). Кроме того, указано, что лицензия явно создана с целью нагнетания неуверенности (FUD, «страх, неуверенность и сомнение») среди пользователей коммерческих продуктов, построенных на основе кода под данной лицензией. Лицензия SSPL сформулирована так, что на практике приложения под данной лицензией невозможно использовать … Читать далее Используемая проектом MongoDB лицензия SSPL признана недопустимой в Fedora Linux

Разработчики криптовалюты Ethereum отложили на неопределённый срок запланированный на 17 января технический форк блокчейна, необходимый для обновления версии платформы («Constantinople»). Решение принято в связи с выявлением критической уязвимости в реализации умных контрактов, позволяющей похитить средства. Выявившие проблему исследователи утверждают, что проблема специфична для ветки «Constantinople», которая ещё не введена в строй. Чтобы отложить планировавшийся форк блокчейна администраторам узлов, майнерам и биржам рекомендуется срочно обновить Geth до выпуска 1.8.21, откатиться на версию 1.8.19 или запускать приложение с опцией «—override.constantinople=9999999». При использовании клиента Parity необходимо обновить программу до версии 2.2.7-stable/2.3.0-beta или откатиться на выпуск 2.2.4-beta. Обычным пользователям криптокошельков, не участвующим в формировании … Читать далее Ethereum отложил обновление платформы из-за выявления критической уязвимости

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В явнварском обновлении в сумме устранены 284 уязвимости. В выпусках Java SE 8u202 и 11.0.2 устранено 4 проблемы с безопасностью (плюс одна в Java Advanced Management Console). Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации, но имеют незначительный уровень опаснотости (5.3 и ниже). 26 уязвимостей в MySQL. Наиболее опасная проблема имеет уровень опасности 7.1 и затрагивает систему репликации. Проблемы будут устранены в выпусках MySQL Community Server 8.0.14, 5.7.25, 5.6.43 и 5.5.63, которые пока недоступны для загрузки. 28 уязвимостей в VirtualBox, из … Читать далее Обновление Java SE, MySQL, VirtualBox и Solaris с устранением уязвимостей

Доступен релиз web-браузера Pale Moon 28.3, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере оставлена поддержка технологии XUL и сохранена возможность применения как … Читать далее Выпуск браузера Pale Moon 28.3

Компания Oracle сформировала корректирующие релизы системы виртуализации VirtualBox 6.0.2 и 5.2.24, в которых отмечено 13 исправлений. Основные изменения в выпуске 6.0.2: В интерфейс пользователя добавлено новое окно для создания виртуального оптического диска; На стартовую страницу добавлена опция для выбора накопителей хост-системы; В интерфейсе решены проблемы с созданием ярлыков для запуска виртуальных машин и прикреплением пустых накопителей оптических дисков; В дополнениях для гостевых систем на базе Linux решены проблемы со сборкой драйверов в окружении SLES 12.4 и налажена сборка драйвера для совместно используемых каталогов на системах со старыми ядрами Linux; В Linux-бэкенды добавлена поддержка сброса USB-устройств (ранее поступающие из гостевых систем … Читать далее Обновление VirtualBox 6.0.2

Организаторы инициативы Zero Day Initiative (ZDI) анонсировали мероприятие Pwn2Own 2019, участникам которого предлагается продемонстрировать рабочие техники эксплуатации ранее неизвестных уязвимостей. Мероприятие состоится с 20 по 22 марта в рамках конференции CanSecWest в Ванкувере. Размер призового фонда составляет более двух с половиной миллионов долларов. В этом году из призовых номинаций исключены взломы ядра Linux и большинства открытых проектов (nginx, OpenSSL, Apache httpd), взлом которых в прошлые годы ограничился демонстрацией в 2017 году 0-day уязвимости в ядре Linux, позволяющей локальному пользователю поднять свои привилегии в системе. Дистрибутив Ubuntu убран из числа окружений для взлома. Из открытых проектов в номинациях оставлены только браузеры … Читать далее В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены за взлом Tesla

В реализациях утилиты SCP от проектов OpenSSH, PuTTY и WinSCP выявлены четыре уязвимости, позволяющие на стороне клиента манипулировать выводом информации в терминал, организовать запись произвольных файлов в целевой каталог или изменить права доступа на каталог при обращении к серверу, подконтрольному злоумышленнику. CVE-2019-6111 — возможность перезаписать произвольные файлы в целевом каталоге на стороне клиента. В SCP как и в RCP сервер принимает решение о том, какие файлы и каталоги отправить клиенту, а клиент лишь проверяет корректность возвращённых имён объектов. Проверка на стороне клиента ограничена лишь блокированием выхода за границы текущего каталога («../»), но не учитывает передачу файлов с именами, отличающимися от … Читать далее Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP