Компания Google открыла исходные тексты платформы ClusterFuzz, предназаначенной для проведения fuzzing-тестирования кода с использованием кластера серверов. Кроме координации выполнения проверок ClusterFuzz также автоматизирует выполнение таких задач, как отправка уведомления разработчикам, создание заявки на исправление (issue), отслеживание исправления ошибки и закрытие отчётов после исправления. Код написан на языках Python и Go, и распространяется под лицензией Apache 2.0. Экземпляры ClusterFuzz могут запускаться на системах под управлением Linux, macOS и Windows, а также в различных облачных окружениях. ClusterFuzz с 2011 года используется в недрах Google для выявления ошибок в кодовой базе Chrome и для обеспечения работы проекта OSS-Fuzz, в рамках которого было организовано … Читать далее Google открыл код ClusterFuzz, платформы для выявления ошибок и уязвимостей

Фонд Свободного ПО представил третью материнскую плату, получившую сертификат «Respect Your Freedom«, который подтверждает соответствие устройства требованиям обеспечения приватности и свободы пользователей и даёт право использовать специальный логотип в связанных с продуктом материалах, подчёркивающий предоставление пользователю полного контроля над устройством. Сертификат получила материнская плата Vikings D8 (ASUS KCMA-D8) и построенная на её основе рабочая станция Vikings D8 Workstation. Материнская плата ориентирована на использование с выпускаемыми с 2011 года процессорами AMD Opteron 42xx на базе микроархитектуры Bulldozer. Все исходные тексты прошивок, загрузчика и компонентов операционной системы доступны в исходных текстах под свободной лицензией. Вместо проприетарного BIOS в качестве прошивки применяется очищенный … Читать далее Фонд свободного ПО сертифицировал материнскую плату и ПК Vikings D8

Несколько недавно анонсированных опасных уязвимостей: Опубликован февральский набор исправлений проблем с безопасностью для платформы Android, в котором устранены 42 уязвимости. 11 проблемам присвоен критический уровень опасности. Наиболее опасными признаны уязвимости CVE-2019-1986, CVE-2019-1987 и CVE-2019-1988, позволяющие удалённому атакующему выполнить свой код на устройстве при обработке специально оформленного изображения в формате PNG. Уязвимости могут быть эксплуатированы в любых приложениях, в которых используется предоставляемый системой обработчик PNG, в том числе в контексте привилегированных процессов. Кроме того, критические уязвимости устранены в Bluetooth-стеке, библиотеке libnvomx (NVIDIA), загрузчике Qualcomm и проприетарных драйверах Qualcomm, которые позволяют организовать выполнение кода с повышенными привилегиями при обработке специально подготовленных злоумышленником … Читать далее Уязвимости в Android, FreeBSD, rdesktop и FreeRDP

Опубликован выпуск PeerTube 1.2, децентрализованной платформы для организации видеохостинга и видеовещания. PeerTube предлагает независимую от отдельных поставщиков альтернативу YouTube, Dailymotion и Vimeo, использующую сеть распространения контента на базе P2P-коммуникаций и связывания между собой браузеров посетителей. Наработки проекта распространяются под лицензией AGPLv3. PeerTube базируется на применении BitTorrent-клиента WebTorrent, запускаемого в браузере и который использует технологию WebRTC для организации прямого P2P-канала связи между браузерами, и протокола ActivityPub, позволяющего объединить разрозненные серверы с видео в общую федеративную сеть, в которой посетители участвуют в доставке контента и имеют возможность подписки на каналы и получения уведомлений о новых видео. Предоставляемый проектом web-интерфейс построен с использованием … Читать далее Выпуск децентрализованной видеовещательной платформы PeerTube 1.2

Организация The Document Foundation опубликовала релиз офисного пакета LibreOffice 6.2. Готовые установочные пакеты подготовлены для различных дистрибутивов Linux, Windows и macOS, а также в редакции для развёртывания online-версии в Docker. Ключевые новшества: Предложены два новых VCL-плагина: qt5, позволяющий привести интерфейс LibreOffice к общему стилю приложений Qt, и kde5 с компонентами для интеграции с рабочим столом KDE Plasma 5 (плагин kde5 является надстройкой над плагином qt5). При подключении модуля для отрисовки интерфейса используются Qt 5 и библиотеки KDE Frameworks 5. Подсистема VCL (Visual Components Library) позволяет абстрагировать оформление LibreOffice от различных тулкитов, предоставляя возможность использования родных для каждого графического окружения диалогов, … Читать далее Выпуск офисного пакета LibreOffice 6.2

Разработчики Mozilla сообщили об успехах развития проекта Fission, в рамках которого предпринята попытка модернизации архитектуры Firefox для повышения защищённости браузера. По аналогии с изменениями, предложенными летом прошлого года в Chrome, в Firefox планируется реализовать режим строгой изоляции сайтов, при котором страницы разных сайтов всегда размещаются в памяти разных процессов, в каждом из которых применяется свой sandbox. Разделение осуществляется не по вкладкам, а по доменам, что позволит дополнительно изолировать содержимое внешних скриптов и iframe-блоков. Проект развивается уже около года и в конце февраля достигнет состояния первого тестового выпуска (Milestone 1), в котором будет реализована возможность выноса выполнения содержимого iframe в отдельные … Читать далее Для Firefox развивается режим строгой изоляции страниц

Стартап Mattermost, развивающий одноимённую открытую коммуникационную платформу для общения разработчиков, сообщил о получении первого раунда инвестиций от венчурных фондов Redpoint Ventures, S28 Capital и Y Combinator. Размер первого денежного вливания составил 20 млн. долларов. Деньги планируется потратить на приведение платформы к соответствию требованиям предприятий по обеспечению безопасности, конфиденциальности и совместимости с корпоративными системами, а также на расширение и поддержание сформированного вокруг проекта сообщества. Mattermost позиционируется как открытая альтернатива системе организации коммуникаций Slack и позволяет получать и отправлять сообщения, файлы и изображения, отслеживать их историю и получать уведомления на смартфоне или ПК. Поддерживаются подготовленные для Slack модули интеграции, а также предоставлена … Читать далее В открытую платформу обмена сообщениями Mattermost инвестировано 20 млн долларов

Разработчики криптовалюты Zcash, занимающей 17 место по уровню капитализации (271 млн долларов) и обеспечивающей анонимность и конфиденциальность метаданных транзакций, раскрыли сведения о критической уязвимости (CVE-2019-7167), позволявшей без ограничений генерировать новые средства (создавать поддельные монеты через предъявление фальшивых доказательств проделанной работы). Несмотря на то, что проблема была выявлена в начале марта 2018 года и скрытно исправлена в октябре прошлого года, информация об уязвимости публично раскрыта только сейчас. Сведения о наличии уязвимости до сих пор держалась в тайне — до недавних пор о проблеме знало только 4 человека: изначально выявивший проблему криптоаналитик, нанятый компанией Zcash Company, и три сотрудника компании Zcash Company … Читать далее Уязвимость в криптовалюте Zcash, позволявшая генерировать новые средства

Компания Google опубликовала выпуск библиотеки libvpx 1.8.0, в рамках которой развиваются эталонные реализации свободных видеокодеков VP8 и VP9. Код libvpx распространяется под лицензией BSD. Компания Google делегирует неограниченному кругу лиц возможность безвозмездного использования всех патентов, касающихся заложенных в VP8 и VP9 технологий, без сбора каких-либо отчислений (royalty-free). Основные изменения в новой версии связаны с оптимизацией кодировщика для перекодирования видео на лету, например, для применения в сервисах, отдающих видео по запросу (VOD). На 5-10% увеличена скорость кодирования в режиме реального времени (режим «speed 7»). Добавлен новый режим «speed 9», который быстрее режима «speed 8» на 10-20%. Значительно улучшена реализация двухпроходного кодирования … Читать далее Выпуск библиотек для кодирования видео libvpx 1.8.0 и x265 3.0

Компания Google подготовила дополнение Password Checkup, предназначенное для анализа надёжности используемых пользователем паролей. При попытке входа на любой сайт дополнение выполняет проверку логина и пароля по базе скомпрометированных учётных записей и в случае проблем выводит предупреждение. В настоящее время коллекция Google насчитывает сведения о более чем 4 миллиардах скомпрометированных аккаунтов, фигурировавших в тех или иных утечках пользовательских баз. Для сохранения конфиденциальности, при обращении к внешнему API передаётся лишь первые два байта хэша от связки из логина и пароля (для хэширования используется алгоритм Argon2). Полный хэш шифруется ключом, генерируемым на стороне пользователя. Исходные хэши в базе Google также дополнительно шифруются и … Читать далее Google опубликовал браузерное дополнение для оценки компрометации паролей

Для Chromium предложена реализация экспериментального режима Never-Slow» («—enable-features=NeverSlowMode»), экономящего ресурсы при обработке раздутых страниц и нагружающих процессор скриптов. Данный режим выставляет более жесткие лимиты на потребление ресурсов скриптами, а также ограничивает размер скриптов, шрифтов, изображений и CSS, отключает document.write() и активирует буферизацию для ответов неизвестного размера (без «Content-Length»). По умолчанию для обработки каждого действия пользователя со страницей выделяется бюджет в 200ms процессорного времени, при превышении которого скрипт останавливается до очередной активности пользователя (клик, прокрутка и т.п.). Максимальный размер изображения ограничивается 1MiB, а общий размер всех изображений на странице — 2MiB. Для CSS устанавливаются лимиты 100KiB и 200KiB на один CSS … Читать далее Для Chrome реализован режим экономии ресурсов

Состоялся выпуск Polemarch 1.0.0, web-интерфейса для управления серверной инфраструктурой на базе Ansible. Код проекта написан на языках Python и JavaScript с использованием фреймворков Django и Celery. Проект распространяется под лицензией AGPL. Для запуска системы достаточно установить пакет и запустить 1 сервис. Для промышленного применения рекомендуется дополнительно использовать MariaDB и Redis/RabbitMQ+Redis (кэш и брокер MQ). Для каждой версии формируется образ Docker, основанный на образе Alpine 3.8. Это первый стабильный релиз продукта, в котором нет кардинальных изменений по сравнению с версией 0.2.8 в плане функциональности, а только внесены исправления мелких ошибок в GUI и проведён рефакторинг кода. Исключение сделано только для новой … Читать далее Релиз Polemarch 1.0.0, web-интерфейса для Ansible

На состоявшемся заседании комитета FESCo (Fedora Engineering Steering Committee), отвечающего за техническую часть разработки дистрибутива Fedora Linux, утверждено добавление в пакетный менеджер DNF кода для отправки сведений, необходимых для более точной оценки пользовательской базы дистрибутива. Изменение планируется включить в состав выпуска Fedora 30. Разработчики учли связанные с сохранением приватности пожелания, высказанные при обсуждении изначально предложенной схемы учёта пользователей. Вместо передачи уникального UUID-идентификатора решено реализовать более простую схему на основе счётчика времени установки и переменной с данными об архитектуре и версии ОС. При обращении к зеркалам вместо UUID будет отправляться счётчик «countme», значение которого увеличивается каждую неделю. Cчётчик будет сбрасываться в … Читать далее Для Fedora утверждён метод подсчёта пользователей, не использующий UUID

Увидел свет значительный выпуск многотрековой системы нелинейного видеомонтажа Flowblade 2.0, позволяющей компоновать фильмы и видеоролики из набора отдельных видео, звуковых файлов и изображений. Редактор предоставляет средства для обрезки клипов с точностью до отдельных кадров, их обработки при помощи фильтров и многоуровневой компоновки изображений для встраивания в видео. Имеется возможность произвольного определения порядка применения инструментов и корректировки поведения шкалы времени. Код проекта написан на языке Python и распространяется под лицензией GPLv3. Сборки подготовлены в форматах Flatpak и deb. Для организации редактирования видео применяется фреймворк MLT. Для обработки различных форматов видео, звука и изображений применяется библиотека FFmpeg. Интерфейс построен с использованием PyGTK. … Читать далее Выпуск видеоредактора Flowblade 2.0

Состоялся релиз интегрированной среды разработки Lazarus 2.0, основанной на компиляторе FreePascal и выполняющей задачи, сходные с Delphi. Среда рассчитана на работу с выпуском компилятора FreePascal 3.0.4. Готовые установочные пакеты с Lazarus подготовлены для Linux, macOS и Windows. Среди изменений в новом выпуске: Проведена работа по улучшению работы на экранах с высокой плотностью пикселей (HighDPI); Добавлена поддержка поиска мест определения различных конструкций и вывода подсказки по значениям параметров; Реализован пакет pas2jsdsgn для создания web-приложений путём трансляции кода Pascal в представление на JavaScript с использованием Node.js; Добавлено меню для скрытия пиктограмм компонентов, таких как TOpenDialog. Добавлена опция для показа не отображаемых компонентов; … Читать далее Новая версия среды разработки для FreePascal

Раскрыты сведения об уязвимости (CVE-2018-16858) в офисных пакетах LibreOffice и Apache OpenOffice, позволяющей выполнить код в системе при открытии специально оформленного документа в формате ОDT. Проблема вызвана отсутствием необходимых проверок в коде обработки встроенных в документ макросов, которые могут вызываться при наступлении различных событий, таких как наведение мыши на элемент. Используя символы «../» в пути к обработчику злоумышленник может выйти за пределы базовых каталогов со скриптами (share/Scripts/python и user/Scripts/python) и запустить при наступлении события произвольную функцию из любого существующего Python-скрипта. Для выполнения своего кода использована особенность присутствующего в большинстве дистрибутивов скрипта pydoc.py (также входит в поставку LibreOffice для Windows — … Читать далее Уязвимость в Libreoffice и Openoffice, позволяющая выполнить код при открытии документа

Опубликован релиз web-браузера Min 1.9, предлагающего минималистичный интерфейс, построенный вокруг манипуляций с адресной строкой. Браузер создан с использованием платформы Electron, позволяющей создавать обособленные приложения на основе движка Chromium и платформы Node.js. Интерфейс Min написан на JavaScript, CSS и HTML. Код распространяется под лицензией Apache 2.0. Сборки сформированы для Linux, macOS и Windows. Min поддерживает навигацию по открытым страницам через систему вкладок, предоставляющих такие функции как открытие новой вкладки рядом с текущей вкладкой, скрытие невостребованных вкладок (к которым пользователь не обращался определённое время), группировка вкладок и просмотр всех вкладок в виде списка. Имеются средства для построения списков отложенных задач/ссылок для чтения … Читать далее Доступен web-браузер Min 1.9

Разработчики Mozilla рассматривают возможность включения в Firefox 67 кода для блокирования JavaScript-вставок, осуществляющих майнинг криптовалют, а также для противодействия отслеживанию пользователей с помощью методов скрытой идентификации («browser fingerprinting»). В настоящее время обсуждается прототип интерфейса для управления блокировками. Например, для включения новых режимов блокировки в настройки предлагается добавить несколько новых опций: Для ручного включения блокировщиков в about:config предусмотрены настройки «privacy.trackingprotection.cryptomining.enabled» и «privacy.trackingprotection.fingerprinting.enabled». Состояние блокировки для текущего сайта можно будет оценить через меню «(i)», там же предусмотрена возможность перехода на страницы с более детальной информацией о том, какой именно код был заблокирован. Блокировка будет осуществляться по дополнительным категориям в списке блокировки Disconnect.me, … Читать далее В Firefox 67 ожидается блокировщик скриптов для майнинга и скрытой идентификации

Состоялся экспериментальный выпуск открытой реализации Win32 API — Wine 4.1. С момента выпуска версии 4.0 было закрыто 30 отчётов об ошибках и внесено 300 изменений. Напомним, что начиная с ветки 2.x проект Wine перешёл на новую схему нумерации версий: каждый стабильный релиз приводит к увеличению первой цифры в номере версии (2.0.0, 3.0.0, 4.0.0), а обновления к стабильным релизам выпускаются с изменением третьей цифры (4.0.1, 4.0.2, 4.0.3). Экспериментальные версии, развиваемые в процессе подготовки следующего значительного релиза, выпускаются с изменением второй цифры (4.1, 4.2, 4.3). Наиболее важные изменения: Поддержка спинлоков ядра NT; В DirectWrite улучшено позиционирование глифов; Увеличена точность вывода информации о … Читать далее Выпуск Wine 4.1

После более года разработки представлен релиз платформы oVirt 4.3.0, в рамках которой развивается основанная на гипервизоре KVM и библиотеке libvirt система для развёртывания, сопровождения и мониторинга набора виртуальных машин и управления облачной инфраструктурой. Развиваемые в oVirt технологии управления виртуальными машинами применяются в продукте Red Hat Enterprise Virtualization и могут выступать в роли открытой альтернативы VMware vSphere. Кроме Red Hat в разработке также принимают участие компании Canonical, Cisco, IBM, Intel, NetApp и SUSE. Код проекта распространяется под лицензией GPLv2. Готовые пакеты доступны для Red Hat Enterprise Linux 7.6 и CentOS 7.6. Также доступны готовые для развёртывания iso-образы, основанные на CentOS 7.6 … Читать далее Выпуск системы управления инфраструктурой виртуализации oVirt 4.3.0

Состоялся релиз десктоп-ориентированной операционной системы MidnightBSD 1.1, основанной на FreeBSD, с элементами, портированными из DragonFly BSD, OpenBSD и NetBSD. Базовое десктоп-окружение построено на основе GNUstep, но пользователи имеют возможность установить WindowMaker, GNOME, Xfce или Lumina. Для загрузки подготовлен установочный образ размером 638 МБ (x86, amd64). В отличие от других десктоп-сборок FreeBSD, ОС MidnightBSD изначально развивалась как форк FreeBSD 6.1-beta, который в 2011 году был синхронизирован с кодовой базой FreeBSD 7, а впоследствии вобрал в себя многие возможности FreeBSD 9-STABLE и FreeBSD 10-STABLE. Для управления пакетами в MidnightBSD задействована система mport, которая использует БД SQLite для хранения индексов и мета-данных. Установка, … Читать далее Выпуск операционной системы MidnightBSD 1.1