Уязвимость в прошивках на базе ThreadX, позволяющая атаковать различные устройства через WiFi

Исследователи безопасности из компании Embedi раскрыли информацию об уязвимостях в платформе ThreadX RTOS, активно применяемой для обеспечения работы прошивок различных специализированных одночиповых систем, в том числе чипов для организации беспроводных коммуникаций. Прошивки на базе ThreadX используются в более чем 6 миллиардах различных промышленных и потребительских устройств. На примере беспроводного чипсета Marvell Avastar 88w8897 продемонстрирована возможность совершения реальной удалённой атаки, позволяющей выполнить код с привилегиями ядра операционной системы через отправку специально оформленного WiFi-пакета. Эксплуатация уязвимости в RTOS-окружении ThreadX позволяет получить контроль над программным окружением, в котором выполняется прошивка (современные WiFi чипы реализуются на базе архитектуры FullMAC, подразумевающей наличие специализированного процессора, на … Читать далее Уязвимость в прошивках на базе ThreadX, позволяющая атаковать различные устройства через WiFi

Релиз языка программирования Rust 1.32

Состоялся релиз языка системного программирования Rust 1.32, развиваемого проектом Mozilla. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime. Автоматическое управление памятью в Rust избавляет разработчика от манипулирования указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo, позволяющий получить нужные для программы библиотеки в один клик. Для … Читать далее Релиз языка программирования Rust 1.32

Выпуск редактора векторной графики Inkscape 0.92.4 и начало тестирования ветки 1.0

Опубликован релиз свободного векторного графического редактора Inkscape 0.92.4 и одновременно альфа-выпуск новой значительной ветки 1.0. Редактор предоставляет гибкие инструменты для рисования и обеспечивает поддержку чтения и сохранения изображений в форматах SVG, OpenDocument Drawing, DXF, WMF, EMF, sk1, PDF, EPS, PostScript и PNG. Готовые сборки Inkscape 0.92.4 подготовлены для Linux (универсальный AppImage, Snap и PPA для Ubuntu) и Windows. Альфа-выпуск 1.0 доступен в форматах AppImage и Snap. Основные новшества Inkscape 0.92.4: Возможность выравнивания нескольких объектов, манипулируя ими как целостной группой, перемещаемой относительно одного отдельного объекта; Возможность пошагового изменения значений при выборе цвета через удерживание клавиши «Ctrl» во время перемещения ползунка (по … Читать далее Выпуск редактора векторной графики Inkscape 0.92.4 и начало тестирования ветки 1.0

Акционеры Red Hat одобрили сделку по продаже бизнеса компании IBM

На состоявшемся на днях заседании акционеров компании Red Hat были согласованы условия сделки о продаже бизнеса Red Hat компании IBM. Владельцы 141 млн акций Red Hat проголосовали за проведение сделки, против высказались владельцы 181 тысячи акций, а обладатели 462 тысяч акций воздержались. Ранее в октябре сделка была согласована на уровне советов директоров Red Hat и IBM. До завершения сделки остаётся получить разрешение антимонопольных служб стран, в которых зарегистрированы компании. Сделку планируется завершить во втором квартале 2019 года. Сумма сделки составит приблизительно 34 миллиарда долларов, в расчёте 190 долларов за акцию (сейчас стоимость акции Red Hat составляет 175 долларов, а на … Читать далее Акционеры Red Hat одобрили сделку по продаже бизнеса компании IBM

Выпуск мобильной ОС Sailfish 3.0.1

Компания Jolla, основанная бывшими сотрудниками Nokia с целью разработки новых смартфонов, построенных на базе Linux-платформы MeeGo, опубликовала релиз операционной системы Sailfish 3.0.1. Сборки подготовлены для устройств Jolla 1, Jolla C, Sony Xperia X, Xperia XA2, Xperia XA2 Ultra и Xperia XA2 Plus, и уже доступны в форме OTA-обновления. Sailfish использует графический стек на базе Wayland и библиотеки Qt5, системное окружение построено на основе Mer (форк MeeGo) и пакетов Mer-дистрибутива Nemo. Пользовательская оболочка, базовые мобильные приложения, QML-компоненты построения графического интерфейса Silica, прослойка для запуска Andrоid-приложений, движок умного ввода текста и система синхронизации данных являются проприетарными, но их код планировалось открыть ещё … Читать далее Выпуск мобильной ОС Sailfish 3.0.1

Выявлена база скомпрометированных учётных записей, охватывающая 773 млн пользователей

Разработчик сервиса проверки скомпрометированных паролей haveibeenpwned.com, выполняющего проверку по базе в 6.4 миллиардах учётных записей, похищенных в результате взломов более 340 сайтов, сообщил о получении одного из крупнейших списков взломанных учётных данных, который был размещён на файлообменнике mega.nz и анонсирован на одном из хакерских форумов. Полученная база включает 2.69 миллиарда записей и охватывает около 773 млн email-адресов и связанных с ними паролей. 110 млн email-адресов ранее не присутствовали в базе haveibeenpwned.com и информация по их компрометации получена впервые. Всего в базе содержится 1.16 млрд уникальных комбинаций из email и паролей. Пароли приведены в открытом виде. После распаковки БД занимает на … Читать далее Выявлена база скомпрометированных учётных записей, охватывающая 773 млн пользователей

В Google Play поменяются правила, касающиеся 64-разрядных сборок, а также доступа к SMS и спискам звонков

Компания Google предупредила разработчиков приложений для платформы Android о новых требованиях, связанных с формированием 64-разрядных сборок. Начиная с 1 августа 2019 года при размещении в Google Play приложений или обновлений, содержащих нативный код, станет обязательным наличие пакета для 64-разрядных CPU в дополнение к 32-разрядным сборкам (исключения сделаны только для обновлений игр на базе движка Unity 5.6). С первого августа 2021 года приложения с нативным кодом, не предоставляющие 64-разрядные сборки, не будут показываться в каталоге Google Play при обращении с устройств с 64-разрядными CPU. Новые требования не затрагивают приложения для платформ Wear OS и Android TV, а также apk-пакеты не поставляемые … Читать далее В Google Play поменяются правила, касающиеся 64-разрядных сборок, а также доступа к SMS и спискам звонков

Релиз минималистичного web-браузера links 2.18

Представлен релиз минималистичного web-браузера links 2.18, поддерживающего работу как в консольном, так и в графическом режимах. При работе консольном режиме возможно отображение цветов и управление мышью, если это поддерживается используемым терминалом (например, xterm). В графическом режиме поддерживается вывод изображений и сглаживание шрифтов. Во всех режимах обеспечено отображение таблиц и фреймов. Браузер поддерживает спецификацию HTML 4.0, но игнорирует CSS и JavaScript. Также имеется поддержка закладок, SSL/TLS, фоновых загрузок и управления через систему меню. При работе links потребляет около 2.5 Мб ОЗУ в текстовом режиме и 4.5 Мб в графическом. Среди улучшений, добавленных в новой версии: Поддержка работы в графическом режиме на … Читать далее Релиз минималистичного web-браузера links 2.18

Проект Android-x86 выпустил сборку Android 8.1 для платформы x86

Разработчики проекта Android-x86, в рамках которого силами независимого сообщества осуществляется портирование платформы Android для архитектуры x86, опубликовали первый стабильный выпуск сборки на базе платформы Android 8.1, в которую включены исправления и дополнения, обеспечивающие бесшовную работу на платформах с архитектурой x86. Для загрузки подготовлены универсальные Live-сборки Android-x86 8.1 для архитектур x86 32-bit (656 Мб) и x86_64 (546 Мб), пригодные для использования на типовых ноутбуках и планшетных ПК. Кроме того доступны сборки в виде rpm-пакетов для установки Android-окружения в дистрибутивах Linux. Основные новшества, специфичные для сборки Android-x86: В качестве альтернативного интерфейса для запуска программ предложена панель задач (Taskbar) с классическим меню приложений, … Читать далее Проект Android-x86 выпустил сборку Android 8.1 для платформы x86

Выпуск дистрибутива Deepin 15.9, развивающего собственное графическое окружение

Увидел свет релиз дистрибутива Deepin 15.9, основанного на пакетной базе Debian, но развивающего собственный рабочий стол Deepin Desktop Environment и около 30 пользовательских приложений, среди которых музыкальный проигрыватель DMusic, видеоплеер DMovie, система обмена сообщениями DTalk, инсталлятор и центр установки программ Deepin Software Center. Проект развивается группой разработчиков из Китая, но поддерживает и русский язык. Все наработки распространяются под лицензией GPLv3. Размер загрузочного iso-образа 2.2 Гб (amd64). Компоненты рабочего стола и приложения разрабатываются с использованием языков C/C++ и Go, но интерфейс формируется при помощи технологий HTML5 с использованием web-движка Chromium. Ключевой особенностью рабочего стола Deepin является панель, которая поддерживает несколько режимов … Читать далее Выпуск дистрибутива Deepin 15.9, развивающего собственное графическое окружение

Выпуск Trident 18.12, операционной системы от проекта TrueOS

Представлен первый стабильный выпуск операционной системы Trident, в рамках которого на базе технологий FreeBSD проектом TrueOS развивается готовый к использованию графический пользовательский дистрибутив, напоминающий старые выпуски PC-BSD и TrueOS. В рамках проекта Trident также теперь ведётся разработка графического окружения Lumina и всех ранее доступных в PC-BSD графических инструментов, таких как sysadm и AppCafe. Проект Trident был образован после трансформации TrueOS в обособленную модульную операционную систему, которую можно использовать в качестве платформы для других проектов. TrueOS позиционируется как «downstream» форк FreeBSD, модифицирующий базовый состав FreeBSD поддержкой таких технологий как OpenRC и LibreSSL. В процессе разработки проект придерживается шестимесячного цикла подготовки релизов … Читать далее Выпуск Trident 18.12, операционной системы от проекта TrueOS

Systemd в Debian остался без мэйнтейнера из-за разногласий с разработчиками systemd

Майкл Библь (Michael Biebl), участвующий в разработке Debian с 2004 года и один из основных участников перевода дистрибутива на системный менеджер systemd, демонстративно ушёл с поста мэйнтейрнера пакетов systemd в Debian, назвав сложившуюся ситуацию с исправлением ошибок в systemd глупостью и безумством, а также пообещав больше не отправлять разработчикам systemd отчёты об ошибках. Конфликт возник из-за появления в выпуске systemd 240 регрессивного изменения, приводящего к изменению поведения при обработке существующих правил udev и проблемам у пользователей Debian с изменением логики переименования сетевых интерфейсов — несмотря на использование опции NAME для привязки имени сетевого интерфейса к MAC-адресу после перехода на udev … Читать далее Systemd в Debian остался без мэйнтейнера из-за разногласий с разработчиками systemd

Mozilla сворачивает программу Test Pilot и сервис Firefox Screenshots

Разработчики Mozilla решили свернуть программу Test Pilot, в рамках которой пользователям давалась возможность оценить и протестировать экспериментальные функции, развиваемые для будущих выпусков Firefox. Начиная с 22 января Test Pilot прекратит свою работу, но все уже установленные экспериментальные возможности продолжат функционировать на системах пользователей. Предлагавшаяся для тестирования функциональность частично останется доступной в форме отдельных дополнений, доступных для установки из каталога addons.mozilla.org. Экспериментальные возможности, реализованные не в форме дополнений, такие как Firefox Lockbox (предоставляет доступ к сохранённым в Firefox логинам и паролям) и Firefox Send (инструмент для обмена файлами), продолжат своё развитие в виде отдельных продуктов, не привязанных к Firefox. Напомним, что … Читать далее Mozilla сворачивает программу Test Pilot и сервис Firefox Screenshots

Языку Tcl исполнилось 30 лет

Динамический язык программирования Tcl (Tool Command Language) празднует своё тридцатилетие. В январе 1989 года был опубликован первый экспериментальный выпуск языка Tcl, предложенный для тестирования сторонним разработчикам. Tcl представляет собой динамический язык программирования, распространяемый совместно с кроссплатформенной библиотекой базовых элементов графического интерфейса Tk. Несмотря на то, что основное распространение Tcl получил для создания интерфейсов пользователя и как встраиваемый язык, Tcl также подходит для других задач, таких как web-разработка, создание сетевых приложений, администрирование систем и тестирование. Источник. Читать далее Языку Tcl исполнилось 30 лет

Используемая проектом MongoDB лицензия SSPL признана недопустимой в Fedora Linux

Проект Fedora поместил лицензию SSPL (Server Side Public License), на которую в прошлом году была переведена СУБД MongoDB, в список несвободных лицензий. Таким образом, MongoDB и другие проекты на базе данной лицензии не смогут входить в состав официальных репозиториев Fedora, EPEL и COPRs. В качестве причины неприятия отмечается, что применение SSPL приводит к дискриминации отдельных категорий пользователей (провайдеров облачных сервисов). Кроме того, указано, что лицензия явно создана с целью нагнетания неуверенности (FUD, «страх, неуверенность и сомнение») среди пользователей коммерческих продуктов, построенных на основе кода под данной лицензией. Лицензия SSPL сформулирована так, что на практике приложения под данной лицензией невозможно использовать … Читать далее Используемая проектом MongoDB лицензия SSPL признана недопустимой в Fedora Linux

Ethereum отложил обновление платформы из-за выявления критической уязвимости

Разработчики криптовалюты Ethereum отложили на неопределённый срок запланированный на 17 января технический форк блокчейна, необходимый для обновления версии платформы («Constantinople»). Решение принято в связи с выявлением критической уязвимости в реализации умных контрактов, позволяющей похитить средства. Выявившие проблему исследователи утверждают, что проблема специфична для ветки «Constantinople», которая ещё не введена в строй. Чтобы отложить планировавшийся форк блокчейна администраторам узлов, майнерам и биржам рекомендуется срочно обновить Geth до выпуска 1.8.21, откатиться на версию 1.8.19 или запускать приложение с опцией «—override.constantinople=9999999». При использовании клиента Parity необходимо обновить программу до версии 2.2.7-stable/2.3.0-beta или откатиться на выпуск 2.2.4-beta. Обычным пользователям криптокошельков, не участвующим в формировании … Читать далее Ethereum отложил обновление платформы из-за выявления критической уязвимости

Обновление Java SE, MySQL, VirtualBox и Solaris с устранением уязвимостей

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В явнварском обновлении в сумме устранены 284 уязвимости. В выпусках Java SE 8u202 и 11.0.2 устранено 4 проблемы с безопасностью (плюс одна в Java Advanced Management Console). Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации, но имеют незначительный уровень опаснотости (5.3 и ниже). 26 уязвимостей в MySQL. Наиболее опасная проблема имеет уровень опасности 7.1 и затрагивает систему репликации. Проблемы будут устранены в выпусках MySQL Community Server 8.0.14, 5.7.25, 5.6.43 и 5.5.63, которые пока недоступны для загрузки. 28 уязвимостей в VirtualBox, из … Читать далее Обновление Java SE, MySQL, VirtualBox и Solaris с устранением уязвимостей

Выпуск браузера Pale Moon 28.3

Доступен релиз web-браузера Pale Moon 28.3, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере оставлена поддержка технологии XUL и сохранена возможность применения как … Читать далее Выпуск браузера Pale Moon 28.3

Обновление VirtualBox 6.0.2

Компания Oracle сформировала корректирующие релизы системы виртуализации VirtualBox 6.0.2 и 5.2.24, в которых отмечено 13 исправлений. Основные изменения в выпуске 6.0.2: В интерфейс пользователя добавлено новое окно для создания виртуального оптического диска; На стартовую страницу добавлена опция для выбора накопителей хост-системы; В интерфейсе решены проблемы с созданием ярлыков для запуска виртуальных машин и прикреплением пустых накопителей оптических дисков; В дополнениях для гостевых систем на базе Linux решены проблемы со сборкой драйверов в окружении SLES 12.4 и налажена сборка драйвера для совместно используемых каталогов на системах со старыми ядрами Linux; В Linux-бэкенды добавлена поддержка сброса USB-устройств (ранее поступающие из гостевых систем … Читать далее Обновление VirtualBox 6.0.2

В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены за взлом Tesla

Организаторы инициативы Zero Day Initiative (ZDI) анонсировали мероприятие Pwn2Own 2019, участникам которого предлагается продемонстрировать рабочие техники эксплуатации ранее неизвестных уязвимостей. Мероприятие состоится с 20 по 22 марта в рамках конференции CanSecWest в Ванкувере. Размер призового фонда составляет более двух с половиной миллионов долларов. В этом году из призовых номинаций исключены взломы ядра Linux и большинства открытых проектов (nginx, OpenSSL, Apache httpd), взлом которых в прошлые годы ограничился демонстрацией в 2017 году 0-day уязвимости в ядре Linux, позволяющей локальному пользователю поднять свои привилегии в системе. Дистрибутив Ubuntu убран из числа окружений для взлома. Из открытых проектов в номинациях оставлены только браузеры … Читать далее В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены за взлом Tesla

Проект LLVM ввёл в строй официальное Git-зеркало в ходе миграции с SVN

Разработчики проекта LLVM объявили о достижении важного рубежа на пути к миграции с Subversion на Git и GitHub. В строй введено официальное Git-зеркало основного репозитория проекта, построенного с использованием централизованной системы управления исходными текстами Subversion. Git-репозиторий теперь признан стабильным и может применяться для участия в разработке компонентов LLVM (ранее Git-зеркало носило неофициальный статус и поддерживалось энтузиастами со стороны). Синхронизация с SVN осуществляется раз в минуту, а время отставания появления в Git коммитов оценивается в 20-90 секунд. Для приёма коммитов продолжает применяться SVN, поэтому при использовании Git для отправки изменений следует использовать git-svn или специально подготовленный скрипт. Следующим шагом миграции станет … Читать далее Проект LLVM ввёл в строй официальное Git-зеркало в ходе миграции с SVN