Google открыл код ClusterFuzz, платформы для выявления ошибок и уязвимостей

Компания Google открыла исходные тексты платформы ClusterFuzz, предназаначенной для проведения fuzzing-тестирования кода с использованием кластера серверов. Кроме координации выполнения проверок ClusterFuzz также автоматизирует выполнение таких задач, как отправка уведомления разработчикам, создание заявки на исправление (issue), отслеживание исправления ошибки и закрытие отчётов после исправления. Код написан на языках Python и Go, и распространяется под лицензией Apache 2.0. Экземпляры ClusterFuzz могут запускаться на системах под управлением Linux, macOS и Windows, а также в различных облачных окружениях. ClusterFuzz с 2011 года используется в недрах Google для выявления ошибок в кодовой базе Chrome и для обеспечения работы проекта OSS-Fuzz, в рамках которого было организовано … Читать далее Google открыл код ClusterFuzz, платформы для выявления ошибок и уязвимостей

Фонд свободного ПО сертифицировал материнскую плату и ПК Vikings D8

Фонд Свободного ПО представил третью материнскую плату, получившую сертификат «Respect Your Freedom«, который подтверждает соответствие устройства требованиям обеспечения приватности и свободы пользователей и даёт право использовать специальный логотип в связанных с продуктом материалах, подчёркивающий предоставление пользователю полного контроля над устройством. Сертификат получила материнская плата Vikings D8 (ASUS KCMA-D8) и построенная на её основе рабочая станция Vikings D8 Workstation. Материнская плата ориентирована на использование с выпускаемыми с 2011 года процессорами AMD Opteron 42xx на базе микроархитектуры Bulldozer. Все исходные тексты прошивок, загрузчика и компонентов операционной системы доступны в исходных текстах под свободной лицензией. Вместо проприетарного BIOS в качестве прошивки применяется очищенный … Читать далее Фонд свободного ПО сертифицировал материнскую плату и ПК Vikings D8

Уязвимости в Android, FreeBSD, rdesktop и FreeRDP

Несколько недавно анонсированных опасных уязвимостей: Опубликован февральский набор исправлений проблем с безопасностью для платформы Android, в котором устранены 42 уязвимости. 11 проблемам присвоен критический уровень опасности. Наиболее опасными признаны уязвимости CVE-2019-1986, CVE-2019-1987 и CVE-2019-1988, позволяющие удалённому атакующему выполнить свой код на устройстве при обработке специально оформленного изображения в формате PNG. Уязвимости могут быть эксплуатированы в любых приложениях, в которых используется предоставляемый системой обработчик PNG, в том числе в контексте привилегированных процессов. Кроме того, критические уязвимости устранены в Bluetooth-стеке, библиотеке libnvomx (NVIDIA), загрузчике Qualcomm и проприетарных драйверах Qualcomm, которые позволяют организовать выполнение кода с повышенными привилегиями при обработке специально подготовленных злоумышленником … Читать далее Уязвимости в Android, FreeBSD, rdesktop и FreeRDP

Выпуск децентрализованной видеовещательной платформы PeerTube 1.2

Опубликован выпуск PeerTube 1.2, децентрализованной платформы для организации видеохостинга и видеовещания. PeerTube предлагает независимую от отдельных поставщиков альтернативу YouTube, Dailymotion и Vimeo, использующую сеть распространения контента на базе P2P-коммуникаций и связывания между собой браузеров посетителей. Наработки проекта распространяются под лицензией AGPLv3. PeerTube базируется на применении BitTorrent-клиента WebTorrent, запускаемого в браузере и который использует технологию WebRTC для организации прямого P2P-канала связи между браузерами, и протокола ActivityPub, позволяющего объединить разрозненные серверы с видео в общую федеративную сеть, в которой посетители участвуют в доставке контента и имеют возможность подписки на каналы и получения уведомлений о новых видео. Предоставляемый проектом web-интерфейс построен с использованием … Читать далее Выпуск децентрализованной видеовещательной платформы PeerTube 1.2

Выпуск офисного пакета LibreOffice 6.2

Организация The Document Foundation опубликовала релиз офисного пакета LibreOffice 6.2. Готовые установочные пакеты подготовлены для различных дистрибутивов Linux, Windows и macOS, а также в редакции для развёртывания online-версии в Docker. Ключевые новшества: Предложены два новых VCL-плагина: qt5, позволяющий привести интерфейс LibreOffice к общему стилю приложений Qt, и kde5 с компонентами для интеграции с рабочим столом KDE Plasma 5 (плагин kde5 является надстройкой над плагином qt5). При подключении модуля для отрисовки интерфейса используются Qt 5 и библиотеки KDE Frameworks 5. Подсистема VCL (Visual Components Library) позволяет абстрагировать оформление LibreOffice от различных тулкитов, предоставляя возможность использования родных для каждого графического окружения диалогов, … Читать далее Выпуск офисного пакета LibreOffice 6.2

Для Firefox развивается режим строгой изоляции страниц

Разработчики Mozilla сообщили об успехах развития проекта Fission, в рамках которого предпринята попытка модернизации архитектуры Firefox для повышения защищённости браузера. По аналогии с изменениями, предложенными летом прошлого года в Chrome, в Firefox планируется реализовать режим строгой изоляции сайтов, при котором страницы разных сайтов всегда размещаются в памяти разных процессов, в каждом из которых применяется свой sandbox. Разделение осуществляется не по вкладкам, а по доменам, что позволит дополнительно изолировать содержимое внешних скриптов и iframe-блоков. Проект развивается уже около года и в конце февраля достигнет состояния первого тестового выпуска (Milestone 1), в котором будет реализована возможность выноса выполнения содержимого iframe в отдельные … Читать далее Для Firefox развивается режим строгой изоляции страниц

В открытую платформу обмена сообщениями Mattermost инвестировано 20 млн долларов

Стартап Mattermost, развивающий одноимённую открытую коммуникационную платформу для общения разработчиков, сообщил о получении первого раунда инвестиций от венчурных фондов Redpoint Ventures, S28 Capital и Y Combinator. Размер первого денежного вливания составил 20 млн. долларов. Деньги планируется потратить на приведение платформы к соответствию требованиям предприятий по обеспечению безопасности, конфиденциальности и совместимости с корпоративными системами, а также на расширение и поддержание сформированного вокруг проекта сообщества. Mattermost позиционируется как открытая альтернатива системе организации коммуникаций Slack и позволяет получать и отправлять сообщения, файлы и изображения, отслеживать их историю и получать уведомления на смартфоне или ПК. Поддерживаются подготовленные для Slack модули интеграции, а также предоставлена … Читать далее В открытую платформу обмена сообщениями Mattermost инвестировано 20 млн долларов

Уязвимость в криптовалюте Zcash, позволявшая генерировать новые средства

Разработчики криптовалюты Zcash, занимающей 17 место по уровню капитализации (271 млн долларов) и обеспечивающей анонимность и конфиденциальность метаданных транзакций, раскрыли сведения о критической уязвимости (CVE-2019-7167), позволявшей без ограничений генерировать новые средства (создавать поддельные монеты через предъявление фальшивых доказательств проделанной работы). Несмотря на то, что проблема была выявлена в начале марта 2018 года и скрытно исправлена в октябре прошлого года, информация об уязвимости публично раскрыта только сейчас. Сведения о наличии уязвимости до сих пор держалась в тайне — до недавних пор о проблеме знало только 4 человека: изначально выявивший проблему криптоаналитик, нанятый компанией Zcash Company, и три сотрудника компании Zcash Company … Читать далее Уязвимость в криптовалюте Zcash, позволявшая генерировать новые средства

Выпуск библиотек для кодирования видео libvpx 1.8.0 и x265 3.0

Компания Google опубликовала выпуск библиотеки libvpx 1.8.0, в рамках которой развиваются эталонные реализации свободных видеокодеков VP8 и VP9. Код libvpx распространяется под лицензией BSD. Компания Google делегирует неограниченному кругу лиц возможность безвозмездного использования всех патентов, касающихся заложенных в VP8 и VP9 технологий, без сбора каких-либо отчислений (royalty-free). Основные изменения в новой версии связаны с оптимизацией кодировщика для перекодирования видео на лету, например, для применения в сервисах, отдающих видео по запросу (VOD). На 5-10% увеличена скорость кодирования в режиме реального времени (режим «speed 7»). Добавлен новый режим «speed 9», который быстрее режима «speed 8» на 10-20%. Значительно улучшена реализация двухпроходного кодирования … Читать далее Выпуск библиотек для кодирования видео libvpx 1.8.0 и x265 3.0

Google опубликовал браузерное дополнение для оценки компрометации паролей

Компания Google подготовила дополнение Password Checkup, предназначенное для анализа надёжности используемых пользователем паролей. При попытке входа на любой сайт дополнение выполняет проверку логина и пароля по базе скомпрометированных учётных записей и в случае проблем выводит предупреждение. В настоящее время коллекция Google насчитывает сведения о более чем 4 миллиардах скомпрометированных аккаунтов, фигурировавших в тех или иных утечках пользовательских баз. Для сохранения конфиденциальности, при обращении к внешнему API передаётся лишь первые два байта хэша от связки из логина и пароля (для хэширования используется алгоритм Argon2). Полный хэш шифруется ключом, генерируемым на стороне пользователя. Исходные хэши в базе Google также дополнительно шифруются и … Читать далее Google опубликовал браузерное дополнение для оценки компрометации паролей

Для Chrome реализован режим экономии ресурсов

Для Chromium предложена реализация экспериментального режима Never-Slow» («—enable-features=NeverSlowMode»), экономящего ресурсы при обработке раздутых страниц и нагружающих процессор скриптов. Данный режим выставляет более жесткие лимиты на потребление ресурсов скриптами, а также ограничивает размер скриптов, шрифтов, изображений и CSS, отключает document.write() и активирует буферизацию для ответов неизвестного размера (без «Content-Length»). По умолчанию для обработки каждого действия пользователя со страницей выделяется бюджет в 200ms процессорного времени, при превышении которого скрипт останавливается до очередной активности пользователя (клик, прокрутка и т.п.). Максимальный размер изображения ограничивается 1MiB, а общий размер всех изображений на странице — 2MiB. Для CSS устанавливаются лимиты 100KiB и 200KiB на один CSS … Читать далее Для Chrome реализован режим экономии ресурсов

Релиз Polemarch 1.0.0, web-интерфейса для Ansible

Состоялся выпуск Polemarch 1.0.0, web-интерфейса для управления серверной инфраструктурой на базе Ansible. Код проекта написан на языках Python и JavaScript с использованием фреймворков Django и Celery. Проект распространяется под лицензией AGPL. Для запуска системы достаточно установить пакет и запустить 1 сервис. Для промышленного применения рекомендуется дополнительно использовать MariaDB и Redis/RabbitMQ+Redis (кэш и брокер MQ). Для каждой версии формируется образ Docker, основанный на образе Alpine 3.8. Это первый стабильный релиз продукта, в котором нет кардинальных изменений по сравнению с версией 0.2.8 в плане функциональности, а только внесены исправления мелких ошибок в GUI и проведён рефакторинг кода. Исключение сделано только для новой … Читать далее Релиз Polemarch 1.0.0, web-интерфейса для Ansible

Для Fedora утверждён метод подсчёта пользователей, не использующий UUID

На состоявшемся заседании комитета FESCo (Fedora Engineering Steering Committee), отвечающего за техническую часть разработки дистрибутива Fedora Linux, утверждено добавление в пакетный менеджер DNF кода для отправки сведений, необходимых для более точной оценки пользовательской базы дистрибутива. Изменение планируется включить в состав выпуска Fedora 30. Разработчики учли связанные с сохранением приватности пожелания, высказанные при обсуждении изначально предложенной схемы учёта пользователей. Вместо передачи уникального UUID-идентификатора решено реализовать более простую схему на основе счётчика времени установки и переменной с данными об архитектуре и версии ОС. При обращении к зеркалам вместо UUID будет отправляться счётчик «countme», значение которого увеличивается каждую неделю. Cчётчик будет сбрасываться в … Читать далее Для Fedora утверждён метод подсчёта пользователей, не использующий UUID

Выпуск видеоредактора Flowblade 2.0

Увидел свет значительный выпуск многотрековой системы нелинейного видеомонтажа Flowblade 2.0, позволяющей компоновать фильмы и видеоролики из набора отдельных видео, звуковых файлов и изображений. Редактор предоставляет средства для обрезки клипов с точностью до отдельных кадров, их обработки при помощи фильтров и многоуровневой компоновки изображений для встраивания в видео. Имеется возможность произвольного определения порядка применения инструментов и корректировки поведения шкалы времени. Код проекта написан на языке Python и распространяется под лицензией GPLv3. Сборки подготовлены в форматах Flatpak и deb. Для организации редактирования видео применяется фреймворк MLT. Для обработки различных форматов видео, звука и изображений применяется библиотека FFmpeg. Интерфейс построен с использованием PyGTK. … Читать далее Выпуск видеоредактора Flowblade 2.0

Новая версия среды разработки для FreePascal

Состоялся релиз интегрированной среды разработки Lazarus 2.0, основанной на компиляторе FreePascal и выполняющей задачи, сходные с Delphi. Среда рассчитана на работу с выпуском компилятора FreePascal 3.0.4. Готовые установочные пакеты с Lazarus подготовлены для Linux, macOS и Windows. Среди изменений в новом выпуске: Проведена работа по улучшению работы на экранах с высокой плотностью пикселей (HighDPI); Добавлена поддержка поиска мест определения различных конструкций и вывода подсказки по значениям параметров; Реализован пакет pas2jsdsgn для создания web-приложений путём трансляции кода Pascal в представление на JavaScript с использованием Node.js; Добавлено меню для скрытия пиктограмм компонентов, таких как TOpenDialog. Добавлена опция для показа не отображаемых компонентов; … Читать далее Новая версия среды разработки для FreePascal

Уязвимость в Libreoffice и Openoffice, позволяющая выполнить код при открытии документа

Раскрыты сведения об уязвимости (CVE-2018-16858) в офисных пакетах LibreOffice и Apache OpenOffice, позволяющей выполнить код в системе при открытии специально оформленного документа в формате ОDT. Проблема вызвана отсутствием необходимых проверок в коде обработки встроенных в документ макросов, которые могут вызываться при наступлении различных событий, таких как наведение мыши на элемент. Используя символы «../» в пути к обработчику злоумышленник может выйти за пределы базовых каталогов со скриптами (share/Scripts/python и user/Scripts/python) и запустить при наступлении события произвольную функцию из любого существующего Python-скрипта. Для выполнения своего кода использована особенность присутствующего в большинстве дистрибутивов скрипта pydoc.py (также входит в поставку LibreOffice для Windows — … Читать далее Уязвимость в Libreoffice и Openoffice, позволяющая выполнить код при открытии документа

Доступен web-браузер Min 1.9

Опубликован релиз web-браузера Min 1.9, предлагающего минималистичный интерфейс, построенный вокруг манипуляций с адресной строкой. Браузер создан с использованием платформы Electron, позволяющей создавать обособленные приложения на основе движка Chromium и платформы Node.js. Интерфейс Min написан на JavaScript, CSS и HTML. Код распространяется под лицензией Apache 2.0. Сборки сформированы для Linux, macOS и Windows. Min поддерживает навигацию по открытым страницам через систему вкладок, предоставляющих такие функции как открытие новой вкладки рядом с текущей вкладкой, скрытие невостребованных вкладок (к которым пользователь не обращался определённое время), группировка вкладок и просмотр всех вкладок в виде списка. Имеются средства для построения списков отложенных задач/ссылок для чтения … Читать далее Доступен web-браузер Min 1.9

В Firefox 67 ожидается блокировщик скриптов для майнинга и скрытой идентификации

Разработчики Mozilla рассматривают возможность включения в Firefox 67 кода для блокирования JavaScript-вставок, осуществляющих майнинг криптовалют, а также для противодействия отслеживанию пользователей с помощью методов скрытой идентификации («browser fingerprinting»). В настоящее время обсуждается прототип интерфейса для управления блокировками. Например, для включения новых режимов блокировки в настройки предлагается добавить несколько новых опций: Для ручного включения блокировщиков в about:config предусмотрены настройки «privacy.trackingprotection.cryptomining.enabled» и «privacy.trackingprotection.fingerprinting.enabled». Состояние блокировки для текущего сайта можно будет оценить через меню «(i)», там же предусмотрена возможность перехода на страницы с более детальной информацией о том, какой именно код был заблокирован. Блокировка будет осуществляться по дополнительным категориям в списке блокировки Disconnect.me, … Читать далее В Firefox 67 ожидается блокировщик скриптов для майнинга и скрытой идентификации

Выпуск Wine 4.1

Состоялся экспериментальный выпуск открытой реализации Win32 API — Wine 4.1. С момента выпуска версии 4.0 было закрыто 30 отчётов об ошибках и внесено 300 изменений. Напомним, что начиная с ветки 2.x проект Wine перешёл на новую схему нумерации версий: каждый стабильный релиз приводит к увеличению первой цифры в номере версии (2.0.0, 3.0.0, 4.0.0), а обновления к стабильным релизам выпускаются с изменением третьей цифры (4.0.1, 4.0.2, 4.0.3). Экспериментальные версии, развиваемые в процессе подготовки следующего значительного релиза, выпускаются с изменением второй цифры (4.1, 4.2, 4.3). Наиболее важные изменения: Поддержка спинлоков ядра NT; В DirectWrite улучшено позиционирование глифов; Увеличена точность вывода информации о … Читать далее Выпуск Wine 4.1

Выпуск системы управления инфраструктурой виртуализации oVirt 4.3.0

После более года разработки представлен релиз платформы oVirt 4.3.0, в рамках которой развивается основанная на гипервизоре KVM и библиотеке libvirt система для развёртывания, сопровождения и мониторинга набора виртуальных машин и управления облачной инфраструктурой. Развиваемые в oVirt технологии управления виртуальными машинами применяются в продукте Red Hat Enterprise Virtualization и могут выступать в роли открытой альтернативы VMware vSphere. Кроме Red Hat в разработке также принимают участие компании Canonical, Cisco, IBM, Intel, NetApp и SUSE. Код проекта распространяется под лицензией GPLv2. Готовые пакеты доступны для Red Hat Enterprise Linux 7.6 и CentOS 7.6. Также доступны готовые для развёртывания iso-образы, основанные на CentOS 7.6 … Читать далее Выпуск системы управления инфраструктурой виртуализации oVirt 4.3.0

Выпуск операционной системы MidnightBSD 1.1

Состоялся релиз десктоп-ориентированной операционной системы MidnightBSD 1.1, основанной на FreeBSD, с элементами, портированными из DragonFly BSD, OpenBSD и NetBSD. Базовое десктоп-окружение построено на основе GNUstep, но пользователи имеют возможность установить WindowMaker, GNOME, Xfce или Lumina. Для загрузки подготовлен установочный образ размером 638 МБ (x86, amd64). В отличие от других десктоп-сборок FreeBSD, ОС MidnightBSD изначально развивалась как форк FreeBSD 6.1-beta, который в 2011 году был синхронизирован с кодовой базой FreeBSD 7, а впоследствии вобрал в себя многие возможности FreeBSD 9-STABLE и FreeBSD 10-STABLE. Для управления пакетами в MidnightBSD задействована система mport, которая использует БД SQLite для хранения индексов и мета-данных. Установка, … Читать далее Выпуск операционной системы MidnightBSD 1.1