Критическая уязвимость в приложении WhatsApp, пригодная для внедрения вредоносного ПО

Раскрыты сведения о критической уязвимости (CVE-2019-3568) в мобильном приложении WhatsApp, позволяющей добиться выполнения своего кода через отправку специально оформленного голосового вызова. Для успешной атаки ответ на вредоносный вызов не требуется, достаточно поступления звонка. При этом часто подобный вызов не оседает в журнале звонков и атака может остаться незамеченной пользователем. Уязвимость не связана с протоколом Signal, а вызвана переполнением буфера в специфичном для WhatsApp VoIP-стеке. Проблему можно эксплуатировать через отправку на устройство жертвы специально оформленной серии пакетов SRTCP (Secure Real-time Transport Protocol). Уязвимость проявляется в WhatsApp для Android (исправлено в 2.19.134), WhatsApp Business для Android (исправлено в 2.19.44), WhatsApp для iOS … Читать далее Критическая уязвимость в приложении WhatsApp, пригодная для внедрения вредоносного ПО

Уязвимость в сетевом стеке ядра Linux

В коде обработчика протокола RDS на базе TCP (Reliable Datagram Socket, net/rds/tcp.c) выявлена уязвимость (CVE-2019-11815), которая может привести к обращению к уже освобождённой области памяти и отказу в обслуживании (потенциально не исключается возможность эксплуатации проблемы для организации выполнения кода). Проблема вызывается состоянием гонки (race condition), которое может возникнуть при выполнении функции rds_tcp_kill_sock в момент очистки сокетов для пространства сетевых имён. В спецификации NVD проблема помечена как удалённо эксплуатируемая по сети, но судя по описанию исправления, без локального присутствия в системе и манипуляции с пространствами имён удалённо организовать атаку не получится. В частности, по мнению разработчиков SUSE уязвимость эксплуатируется только локально, … Читать далее Уязвимость в сетевом стеке ядра Linux

Представлен более эффективный метод определения коллизий для SHA-1

Исследователи из французского государственного института исследований в информатике и автоматике (INRIA) и Наньянского технологического университета (Сингапур) разработали усовершенствованный метод атаки на алгоритм SHA-1, существенно упрощающий создание двух разных документов с одинаковыми хэшами SHA-1. Суть метода в сведении операции полного подбора коллизии в SHA-1 к коллизионной атаке с заданным префиксом, при которой для существующих данных можно подобрать определённые дополнения, при которых для общего набора возникает коллизия. Иными словами, для двух существующих документов можно вычислить два дополнения, и если одно присоединить к первому документу, а другое ко второму — результирующие хэши SHA-1 для этих файлов будут одинаковы. Данный вид атаки всё ещё … Читать далее Представлен более эффективный метод определения коллизий для SHA-1

Подмена кода проектов Picreel и Alpaca Forms привела к компрометации 4684 сайтов

Исследователь безопасности Виллем де Гроот (Willem de Groot) сообщил, что в результате взлома инфраструктуры атакующие смогли внедрить вредоносную вставку в код системы web-аналитики Picreel и открытой платформы для генерации интерактивных web-форм Alpaca Forms. Подмена JavaScript-кода привела к компрометации 4684 сайтов, применяющих на своих страницах указанные системы (1249 — Picreel и 3435 — Alpaca Forms). Внедрённый вредоносный код осуществлял сбор сведений о заполнении всех web-форм на сайтах и в том числе мог привести к перехвату ввода платёжной информации и параметров аутентификации. Перехваченная информация отправлялась на сервер font-assets.com под видом запроса изображений. Информации о том, как именно была скомпрометирована инфраструктура Picreel и … Читать далее Подмена кода проектов Picreel и Alpaca Forms привела к компрометации 4684 сайтов

OpenIndiana 2019.04 и OmniOS CE r151030, продолжающие развитие OpenSolaris

Доступен релиз свободного дистрибутива OpenIndiana 2019.04, пришедшего на смену бинарному дистрибутиву OpenSolaris, развитие которого было прекращено компанией Oracle. OpenIndiana предоставляет пользователю рабочее окружение, построенное на базе свежего среза кодовой базы проекта Illumos. Непосредственно разработка технологий OpenSolaris продолжается проектом Illumos, в котором развивается ядро, сетевой стек, файловые системы, драйверы, а также базовый набор пользовательских системных утилит и библиотек. Для загрузки сформировано три вида iso-образов — серверная редакция с консольными приложениями (702 Мб), минимальная сборка (524 Мб) и сборка с графическим окружением MATE (1.6 Гб). Основные изменения в OpenIndiana 2019.04: Рабочий стол MATE обновлён до выпуска 1.22; В состав включён пакет с … Читать далее OpenIndiana 2019.04 и OmniOS CE r151030, продолжающие развитие OpenSolaris

Выпуск отладчика GDB 8.3

Представлен релиз отладчика GDB 8.3, поддерживающего отладку на уровне исходных текстов для широкого спектра языков программирования (Ada, C, C++, Objective-C, Pascal, Go и т.д.) на различных аппаратных (i386, amd64, ARM, Power, Sparc, RISC-V и т.д.) и программных платформах (GNU/Linux, *BSD, Unix, Windows, macOS). Ключевые улучшения: В интерфейсах CLI и TUI реализована возможность определения стиля терминала (добавлена команда «set style»). При наличии GNU Highlight реализована подсветка исходных текстов; Реализована экспериментальная поддержка компиляции и подстановки исходного кода на языке C++ в контролируемый при помощи GDB процесс (inferior). Для работы требуется наличие как минимум версии GCC 7.1б, собранной с libcp1.so; В GDB и … Читать далее Выпуск отладчика GDB 8.3

GitHub ввёл в строй реестр пакетов, совместимый с NPM, Docker, Maven, NuGet и RubyGems

GitHub объявил о запуске нового сервиса Package Registry, в рамках которого разработчикам предоставлена возможность публикации и распространения пакетов с приложениями и библиотеками. Поддерживается создание как приватных репозиториев пакетов, доступных только для определённых групп разработчиков, так и публичных общедоступных репозиториев для поставки готовых сборок своих программ и библиотек. Представленный сервис позволяет вести разработку кода и подготовку пакетов в одном месте, а также организовать централизованный процесс доставки зависимостей напрямую с GitHub, минуя посредников и специфичные для разных платформ репозитории пакетов. Для установки и публикации пакетов при помощи GitHub Package Registry могут использоваться уже существующие привычные пакетные менеджеры и команды, такие как npm, … Читать далее GitHub ввёл в строй реестр пакетов, совместимый с NPM, Docker, Maven, NuGet и RubyGems

В Chrome появится защита от передачи сторонних Cookie и скрытой идентификации

Компания Google представила грядущие изменения в Chrome, нацеленные на повышение конфиденциальности. Первая часть изменений касается обработки Cookie и поддержки атрибута SameSite. Начиная с выпуска Chrome 76, ожидаемого в июле, будет активирован флаг «same-site-by-default-cookies», который в случае отсутствие атрибута SameSite в заголовке Set-Cookie по умолчанию будет выставлять значение «SameSite=Lax», ограничивающее отправку Cookie для вставок со сторонних сайтов (но сайты по-прежнему смогут отменить ограничение, явно выставляя при установке Cookie значение SameSite=None). Атрибут SameSite позволяет определять ситуации, в которых допустима передача Cookie при поступлении запроса со стороннего сайта. В настоящее время браузер передаёт Cookie на любой запрос к сайту, для которого имеются выставленные … Читать далее В Chrome появится защита от передачи сторонних Cookie и скрытой идентификации

Выпуск ОС Trident 19.04 от проекта TrueOS и рабочего стола Lumina 1.5.0

Доступен выпуск операционной системы Trident 19.04, в рамках которого на базе технологий FreeBSD проектом TrueOS развивается готовый к использованию графический пользовательский дистрибутив, напоминающий старые выпуски PC-BSD и TrueOS. Размер установочного iso-образа 3 Гб (AMD64). В рамках проекта Trident также теперь ведётся разработка графического окружения Lumina и всех ранее доступных в PC-BSD графических инструментов, таких как sysadm и AppCafe. Проект Trident был образован после трансформации TrueOS в обособленную модульную операционную систему, которую можно использовать в качестве платформы для других проектов. TrueOS позиционируется как «downstream» форк FreeBSD, модифицирующий базовый состав FreeBSD поддержкой таких технологий как OpenRC и LibreSSL. В процессе разработки проект … Читать далее Выпуск ОС Trident 19.04 от проекта TrueOS и рабочего стола Lumina 1.5.0

Опубликован код старых игр Infocom, включая Zork

Джейсон Скотт (Jason Scott) из проекта Internet Archive опубликовал исходные тексты игровых приложений, выпущенный компанией Infocom, просуществовавшей с 1979 по 1989 год и специализировавшейся на создании текстовых квестов. Всего опубликованы исходные тексты 45 игр, включая Zork Zero, Zork I, Zork II, Zork III, Arthur, Shōgun, Sherlock, Witness, Wishbringer, Trinity и The Hitchhiker’s Guide to the Galaxy. Опубликованный код отражает срез состояния системы разработки Infocom на момент закрытия данной компании. Код предназначен для изучения методов разработки старых игр, обсуждения и исследований в области истории компьютерной техники (лицензия на код не является открытой). Разработка игр велась на мэйнфрейме c ОС TOPS20, для … Читать далее Опубликован код старых игр Infocom, включая Zork

Кандидат в релизы инсталлятора Debian 10 "Buster"

Доступен первый кандидат в релизы инсталлятора следующего значительного релиза Debian 10 «Buster». В настоящее время насчитывается 146 критических ошибок, блокирующих релиз (месяц назад было 316, два месяца назад — 577, в момент заморозки в Debian 9 — 275, в Debian 8 — 350, Debian 7 — 650). Финальный релиз Debian 10 ожидается летом. По сравнению с пятым альфа-выпуском представлены следующие изменения: Для архитектуры amd64 включена поддержка верифицированной загрузки (UEFI Secure Boot). Для обеспечения работы Secure Boot задействован загрузчик Shim, заверенный цифровой подписью от компании Microsoft (shim-signed), в сочетании с заверением ядра и загрузчика grub (grub-efi-amd64-signed) собственным сертификатом проекта (shim выступает … Читать далее Кандидат в релизы инсталлятора Debian 10 "Buster"

Уязвимость в Adblock Plus, позволяющая выполнить код при использовании сомнительных фильтров

В блокировщике рекламы Adblock Plus выявлена уязвимость, позволяющая организовать выполнение JavaScript-кода в контексте сайтов, в случае использования непроверенных фильтров, подготовленных злоумышленниками (например, при подключении сторонних наборов правил или через подмену правил в ходе MITM-атаки). Авторы списков с наборами фильтров могут организовать выполнение своего кода в контексте открываемых пользователем сайтов через добавление правил с оператором «rewrite«, позволяющем заменить часть URL. Оператор rewrite не позволяет заменить хост в URL, но даёт возможность свободно манипулировать с аргументами запроса. В качестве маски для замены допускается применение только текста, а подстановка тегов script, object и subdocument блокируется. Тем не менее, выполнения кода можно добиться обходным … Читать далее Уязвимость в Adblock Plus, позволяющая выполнить код при использовании сомнительных фильтров

DXVK 1.0.3 с реализацией Direct3D 10/11 поверх API Vulkan

Вместо отменённого из-за проблемы с зависанием GPU релиза 1.1 подготовлен выпуск прослойки DXVK 1.0.3, предоставляющей реализацию DXGI (DirectX Graphics Infrastructure), Direct3D 10 и Direct3D 11, работающую через трансляцию вызовов в API Vulkan. В DXVK 1.0.3 перенесены некоторые исправления и улучшения из ветки 1.1, например: В DLL обеспечено включение информации о версии DXVK; На системах с GPU NVIDIA решены проблемы с отрисовкой в играх Dark Souls Remastered и Grim Dawn; Устранено зависание GPU и крах драйвера при запуске игры Star Citizen; Решены проблемы с производительностью игры Anno 1800; Исправлены ошибки, приводящие к передаче драйверу неопределённых данных, которые могли негативно отражаться на … Читать далее DXVK 1.0.3 с реализацией Direct3D 10/11 поверх API Vulkan

Результаты совместного финансирования OpenNET в 2019 году

Спасибо всем, принявшим участие в кампании по сбору средств. В ходе мероприятия собрано 416 тысяч рублей (плюс подписка на $250 в месяц в Patreon и на 3.3 тысячи рублей в Скайс). На призыв поддержать проект откликнулось 328 человек. 13 перечислений были на 5000 руб и больше. Максимальные взносы составили 50 тысяч рублей и 0.196 BTC (~1000$). Полученная сумма меньше, чем в прошлом году, но хостинг-компании MIRhosting и FORNEX выразили готовность стать спонсорами и предоставить недостающие средства. Также хочу поблагодарить компанию Айхор, которая с 2015 года безвозмездно предоставляет сервер для проекта. Идеи, которые планируется реализовать по результатам обсуждения (если что-то упустил … Читать далее Результаты совместного финансирования OpenNET в 2019 году

Проект NetBSD развивает новый гипервизор NVMM

Разработчики проекта NetBSD объявили о создании нового гипервизора и связанного с ним стека виртуализации, которые уже включены в состав экспериментальной ветки NetBSD-current и будут предложены в стабильном релизе NetBSD 9. NVMM пока ограничен поддержкой архитектуры x86_64 и предоставляет два бэкенда для задействования аппаратных механизмов виртуализации: x86-SVM с поддержкой расширений виртуализации CPU AMD и x86-VMX для CPU Intel. В текущем виде возможен запуск на одном хосте до 128 виртуальных машин, каждой из которых может выделять до 256 виртуальных процессорных ядер (VCPU) и 128 Гб ОЗУ. NVMM включает драйвер, работающий на уровне ядра системы и координирующий доступ к аппаратным механизма виртуализации, и … Читать далее Проект NetBSD развивает новый гипервизор NVMM

Выпуск Bedrock Linux 0.7.3, сочетающего компоненты различных дистрибутивов

Доступен выпуск мета-дистрибутива Bedrock Linux 0.7.3, позволяющего использовать пакеты и компоненты из различных дистрибутивов Linux, смешивая дистрибутивы в одном окружении. Системное окружение формируется из стабильных репозиториев Debian и CentOS, дополнительно можно установить более свежие версии программ, например, из Arch Linux/AUR, а также скомпилировать портежи Gentoo. Для установки сторонних проприетарных пакетов обеспечена совместимость на уровне библиотек с Ubuntu и CentOS. Вместо установочных образов в Bedrock предложен скрипт, который изменяет окружение уже установленных типовых дистрибутив. Например, заявлено о работоспособности замены Debian, Fedora, Manjaro, OpenSUSE, Ubuntu и Void Linux, но имеются отдельные проблемы при замене CentOS, CRUX, Devuan, GoboLinux, GuixSD, NixOS и Slackware. … Читать далее Выпуск Bedrock Linux 0.7.3, сочетающего компоненты различных дистрибутивов

Выпуск Bedrock Linux 0.7.3, сочетающего компоненты различных дистрибутивов

Доступен выпуск мета-дистрибутива Bedrock Linux 0.7.3, позволяющего использовать пакеты и компоненты из различных дистрибутивов Linux, смешивая дистрибутивы в одном окружении. Системное окружение формируется из стабильных репозиториев Debian и CentOS, дополнительно можно установить более свежие версии программ, например, из Arch Linux/AUR, а также скомпилировать портежи Gentoo. Для установки сторонних проприетарных пакетов обеспечена совместимость на уровне библиотек с Ubuntu и CentOS. Вместо установочных образов в Bedrock предложен скрипт, который изменяет окружение уже установленных типовых дистрибутив. Например, заявлено о работоспособности замены Debian, Fedora, Manjaro, OpenSUSE, Ubuntu и Void Linux, но имеются отдельные проблемы при замене CentOS, CRUX, Devuan, GoboLinux, GuixSD, NixOS и Slackware. … Читать далее Выпуск Bedrock Linux 0.7.3, сочетающего компоненты различных дистрибутивов

Релиз GhostBSD 19.04

Состоялся релиз десктоп-ориентированного дистрибутива GhostBSD 19.04, построенного на базе TrueOS и предлагающего пользовательское окружение MATE. По умолчанию в GhostBSD применяется система инициализации OpenRC и файловая система ZFS. Поддерживается как работа в Live-режиме, так и установка на жесткий диск (используется собственный инсталлятор ginstall, написанный на языке Python). Загрузочные образы сформированы для архитектуры amd64 (2.7 Гб). В новой версии: Кодовая база обновлена до экспериментальной ветки FreeBSD 13.0-CURRENT; В инсталлятор добавлена поддержка файловой системы ZFS на разделах с MBR; Для улучшения поддержки установки на UFS удалены связанные с ZFS настройки, применяемые по умолчанию в TrueOS; Вместо slim задействован менеджер сеансов Lightdm; Из поставки … Читать далее Релиз GhostBSD 19.04

Выпуск языка программирования Rust 1.34

Состоялся релиз языка системного программирования Rust 1.34, развиваемого проектом Mozilla. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime. Автоматическое управление памятью в Rust избавляет разработчика от манипулирования указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo, позволяющий получить нужные для программы библиотеки в один клик. Для … Читать далее Выпуск языка программирования Rust 1.34

Первый публичный выпуск дополнения NoScript для Chrome

Джоржио Маоне (Giorgio Maone), создатель проекта NoScript, представил первый доступный для тестирования выпуск дополнения для браузера Chrome. Сборка соответствует версии 10.6.1 для Firefox и стала возможной благодаря переводу ветки NoScript 10 на технологию WebExtension. Выпуск для Chrome имеет статус бета-версии и доступен для загрузки из Chrome Web Store. В конце июня планируется выпустить NoScript 11, который станет первым релизом со стабильной поддержкой Chrome/Chromium. Дополнение, предназначенное для блокирования опасного и нежелательного JavaScript-кода, а также различных видов атак (XSS, DNS Rebinding, CSRF, Clickjacking), используется в составе Tor Browser и многих дистрибутивов, ориентированных на обеспечение конфиденциальности. Отмечается, что появление версии для Chrome является … Читать далее Первый публичный выпуск дополнения NoScript для Chrome

NVIDIA открыла код системы машинного обучения, синтезирующей пейзажи по наброскам

Компания NVIDIA опубликовала исходные тексты системы машинного обучения SPADE (GauGAN), позволяющей синтезировать реалистичные пейзажи на основе грубых набросков, а также связанные с проектом нетренированные модели. Система была продемонстрирована в марте на конференции GTC 2019, но код был опубликован только вчера. Наработки открыты под свободной лицензией CC BY-NC-SA 4.0 (Creative Commons Attribution-NonCommercial-ShareAlike 4.0), допускающей использование только в некоммерческих целях. Код написан на языке Python с применением фреймворка PyTorch. Наброски оформляются в виде сегментированной карты, определяющей размещение примерных объектов на сцене. Характер генерируемых объектов задаётся при помощи цветовых меток. Например, голубая заливка преобразуется в небо, синяя в воду, тёмно зелёная в деревья, … Читать далее NVIDIA открыла код системы машинного обучения, синтезирующей пейзажи по наброскам