Группа исследователей из Швейцарской высшей технической школы Цюриха выявила новую уязвимость (CVE-2023-20569) в реализации микроархитектурных структур процессоров AMD, получившую кодовое имя Inception. Уязвимость позволяет локальному непривилегированному пользователю определить содержимое памяти процессов других пользователей. При использовании систем виртуализации уязвимость даёт возможность извлечь информацию из других гостевых систем. Исследователями подготовлен рабочий прототип эксплоита и продемонстрирована возможность его использования локальным непривилегированным пользователем для определения хэша пароля пользователя root, хранимого в файле /etc/shadow и загруженного в память при выполнении аутентификации в системе. Атака продемонстрирована на полностью обновлённой системе Ubuntu 22.04 с ядром 5.19 на компьютере с процессором семейства AMD Zen 4. Производительность утечки данных … Читать далее Уязвимость в CPU AMD, приводящая к переполнению микроархитектурного стека

Даниэль Могими (Daniel Moghimi) из компании Google, занимающийся исследовательской деятельностью в Калифорнийском университете в Сан-Диего, выявил новую уязвимость (CVE-2022-40982) в системе спекулятивного выполнения инструкций процессоров Intel, позволяющую определить содержимое векторных регистров XMM, YMM и ZMM, до этого использованных в других процессах при выполнении инструкций AVX (Advanced Vector Extensions) на том же ядре CPU. Уязвимости присвоено имя Downfall, а техника атаки названа Gather Data Sampling (GDS). Непривилегированный атакующий, имеющий возможность выполнить свой код в системе, может использовать уязвимость для организации утечки данных из процессов других пользователей, ядра системы, изолированных анклавов Intel SGX и виртуальных машин. Подверженные утечке векторные регистры активно применяются … Читать далее Downfall — атака на CPU Intel, приводящая к утечке данных из других процессов

Представлен релиз языка программирования Go 1.21, который развивается компанией Google при участии сообщества как гибридное решение, сочетающее высокую производительность компилируемых языков с такими достоинствами скриптовых языков, как лёгкость написания кода, быстрота разработки и защищённость от ошибок. Код проекта распространяется под лицензией BSD. Синтаксис Go основан на привычных элементах языка Си с отдельными заимствованиями из языка Оберон. Язык достаточно лаконичен, но при этом код легко читается и воспринимается. Код на языке Go компилируется в обособленные бинарные исполняемые файлы, выполняемые нативно, без использования виртуальной машины (модули профилирования, отладки и другие подсистемы выявления проблем на этапе выполнения интегрируются в виде runtime-компонентов), что позволяет … Читать далее Выпуск языка программирования Go 1.21

Представлен первый стабильный выпуск дистрибутива Rhino Linux, реализующего модель непрерывной доставки обновлений для предоставления доступа к наиболее свежим версиям программ. Новые версии приложений в основном переносятся из devel-веток репозиториев Ubuntu, в которых производится сборка пакетов с новыми версиями приложений, синхронизированных с Debian Sid и Unstable. Установочные образы, которые могут загружаться в Live-режиме, подготовлены для архитектур x86_64 (2 ГБ) и ARM64 (1.9 ГБ). Отдельно доступны сборки для ARM-устройств PineTab, PineTab2, PinePhone и Raspberry Pi. Управление пакетами осуществляется при помощи собственного пакетного менеджера rhino-pkg (rpk), реализующего обвязку над пакетными менеджерами APT, Pacstall, flatpak и snap. Rhino-pkg позволяет использовать одну универсальную утилиту для … Читать далее Доступен непрерывно обновляемый дистрибутив Rhino Linux

Доступен выпуск проекта VCMI 1.3, развивающего открытый игровой движок, совместимый с форматом данных, используемым в играх Heroes of Might and Magic III. Важной целью проекта также является поддержка модов, при помощи которых имеется возможность добавлять в игру новые города, героев, монстров, артефакты и заклинания. Исходные тексты распространяются под лицензией GPLv2. Поддерживается работа в Linux, Windows, macOS и Android. В новой версии: Реализована поддержка изменения размера пользовательского интерфейса без выхода из игры. Также добавлена возможность плавного масштабирования карты. В сборках для мобильных устройств улучшена поддержка сенсорных экранов. Добавлена поддержка экранных жестов (сдвиг и щипок) и эффекта тактильной обратной связи. Реализовано радиальное … Читать далее Выпуск открытого игрового движка VCMI 1.3.0, совместимого с Heroes of Might and Magic III

Состоялся релиз консольной программы для чтения новостных лент Newsraft 0.20, поддерживающей форматы RSS и Atom. Newsraft предназначен для получения контента из различных блогов и платформ, и его просмотра через единый интерфейс, построенный на базе библиотеки ncurses. Проект вдохновлён идеями приложения Newsboat, однако является самостоятельной разработкой и представляется его легковесным аналогом. Целью проекта является предоставление наиболее востребованной функциональности полноценного фидридера при как можно меньшем количестве строк исходного кода (для сравнения, Newsboat содержит около 40 тысяч строк исходного кода, тогда как Newsraft — около 9 тысяч). Код проекта написан на языке программирования C (C99) и распространяется под лицензией ISC. Основные возможности Newsraft: … Читать далее Выпуск консольного RSS-агрегатора Newsraft 0.20

Спустя 11 с половиной лет с момента формирования ветки 0.95 опубликован релиз оконного менеджера Window Maker 0.96.0, предоставляющего интерфейс в стиле NEXTSTEP. Среди возможностей Window Maker: стековая компоновка окон с полуавтоматическим управлением мозаичной раскладкой, низкое потребление ресурсов, гибкие возможности настройки через GUI-конфигуратор или текстовый файл конфигурации, динамическая генерация содержимого меню приложений, поддержка стандарта ICCM (Inter-Client Communication Conventions Manual), поддержка локализации, возможность интеграции с рабочими столами GNUstep, GNOME, и KDE, панель в стиле NEXTSTEP и MacOS X, встроенная поддержка тем оформления, 13 типов декорирования окон. Код проекта написан на языке Си и распространяется под лицензией GPLv2. В новой версии: Реализована возможность … Читать далее Выпуск оконного менеджера Window Maker 0.96.0

Сформирован релиз специализированного дистрибутива Tails 5.16 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.2 ГБ. В новой версии Tor Browser обновлён до версии 12.5.2, синхронизированной с кодовой базой Firefox 102.14.0 ESR, в которой устранено 13 уязвимостей. Также обновлены версии почтового клиента Thunderbird 102.14.0, ядра Linux 6.1.38 и пакета amd64-microcode … Читать далее Выпуск дистрибутива Tails 5.16

Разработка созданного несколько дней назад форка системы управления контейнерами LXD перешла под крыло сообщества Linux Containers, которое ранее курировало разработку LXD. Форк будет развиваться под именем Incus в репозитории github.com/lxc/incus. Для разработки Incus будет использоваться та же инфраструктура, что ранее использовалась для LXD. Целью проекта называется предоставление управляемой независимым сообществом альтернативы проекту LXD, развиваемому компанией Canonical. В рамках проекта также планируется устранить некоторые концептуальные ошибки, допущенные при разработке LXD, которые ранее невозможно было исправить без нарушения обратной совместимости. Источник: http://www.opennet.ru/opennews/art.shtml?num=59564 Читать далее Форк LXD будет развиваться под эгидой сообщества Linux Containers

Группа исследователей из трёх университетов Великобритании разработала усовершенствованный акустический метод атаки, позволяющий с 95% точностью определить информацию, вводимую на клавиатуре, анализируя звук от нажатия клавиш, записанный при помощи рядом лежащего смартфона или полученный с локального микрофона атакуемого устройства. Воссоздание ввода осуществляется с использованием классификатора на основе модели машинного обучения, учитывающей особенности звука и уровень громкости при нажатии разных клавиш. Проведение атаки требует предварительного обучения модели, для которого необходимо сопоставить звук ввода с информацией о нажимаемых клавишах. В идеальных условиях для обучения модели может быть задействовано установленное на атакуемом компьютере вредоносного ПО, которое позволяет одновременно записывать звук с микрофона и перехватывать … Читать далее Новый метод определения текста по звуку его набора на клавиатуре

После пяти месяцев разработки опубликован релиз многоплатформенного тулкита для создания графического интерфейса пользователя — GTK 4.12.0. GTK 4 развивается в рамках нового процесса разработки, который пытается предоставить разработчикам приложений стабильный и поддерживаемый в течение нескольких лет API, который можно использовать не опасаясь, что каждые полгода придётся переделывать приложения из-за изменения API в очередной ветке GTK. В конце года планируется сформировать экспериментальную ветку 4.90, в которой будет развиваться функциональность для будущего выпуска GTK5. В ветку GTK5 будут включены изменения нарушающие совместимость на уровне API, например, связанные с переводом в разряд устаревших некоторых виджетов, таких как старый диалог выбора файлов. Также обсуждается … Читать далее Доступен графический тулкит GTK 4.12

Проект KDE Neon, формирующий Live-сборки с актуальными версиями программ и компонентов KDE, объявил о создании экспериментальных сборок с пользовательским окружением на базе оболочки KDE Plasma 6 и приложений, портированных на KDE Frameworks 6. Ранее проектом KDE Neon с уже выпускались сборки с KDE Plasma 6, но они имели статус нестабильных, а теперь переведены в категорию экспериментальных и связаны с репозиторием «experimental», для перехода на который подготовлен пакет «neon-settings-experimental». Отличие новых сборок сводится к более явному разделению приложений на базе KDE Frameworks 6, имеющих статус «pre-alpha», и более стабильного рабочего стола Plasma 6. Ключевым изменением в KDE 6 является переход на … Читать далее Экспериментальные сборки KDE Neon с KDE 6

Умер Брэм Моленар (Bram Moolenaar), автор текстового редактора Vim. Из прожитых 62 лет 31 год Брэм посвятил развитию проекта Vim, в который он вносил подавляющее большинство изменений (для сравнения Брэм внёс 16.5 тыс. коммитов и добавил 3.5 млн строк кода, в то время как второй по активности разработчик Vim добавил 239 коммитов и 69 тысяч строк кода). Последний коммит Брэма в репозиторий Vim датирован 8 июля. Судя по объявлению родственников Брэма причиной смерти стала быстро прогрессирующая болезнь, из-за которой он угас за несколько недель. Источник: http://www.opennet.ru/opennews/art.shtml?num=59557 Читать далее Умер автор и ключевой разработчик Vim

Алекса Сарай (Alexa Sarai), работающий в компании SUSE и занимающийся сопровождением пакетов с LXD в проекте openSUSE, создал репозиторий Incus, в котором намерен заниматься развитием форка системы управления контейнерами LXD. Форк создан после того, как компания Canonical, которая является создателем и основным разработчиком LXD, решила вывести LXD из разработки в составе сообщества Linux Containers и развивать LXD в дальнейшем как корпоративный проект. Форк создан из-за опасений, что компания Canonical прекратит должную поддержку других дистрибутивов в LXD. В частности, уже были объявлены планы по сосредоточению работы над поставкой LXD в формате snap, который позиционируется как основной формат для установки LXD. В … Читать далее Создан форк системы управления контейнерами LXD

В основную ветку проекта Mesa принят код NVK, открытого драйвера с реализацией графического API Vulkan для видеокарт NVIDIA. Драйвер создан командой, в которую входят Карол Хербст (Karol Herbst, разработчик Nouveau из Red Hat), Дэвид Эйрли (David Airlie, мэйнтейнер подсистемы DRM из Red Hat) и Джейсон Экстранд (Jason Ekstrand, активный разработчик Mesa из Collabora). Драйвером пока поддерживаются только GPU на базе Turing (RTX 20XX and GTX 16XX) и более новых микроархитектур (карты, выпускаемые с сентября 2018 года). В будущем планируют добавить поддержку семейства GPU Kepler (GeForce 600 и 700). Для эффективной работы драйвера требуется внесение изменений в ядро Linux, связанных с … Читать далее В Mesa принят код NVK, открытого Vulkan-драйвера для видеокарт NVIDIA

После 8 месяцев разработки опубликован выпуск языка программирования Zig 0.11.0, развиваемого при поддержке организации Zig Software Foundation. Язык Zig предлагается в качестве современной замены C, который старается сохранить его достоинства (простота и гибкость использования, предсказуемость кодогенерации, экосистема и т.д.), в то же время добавляя новшества для более эргономичной и безопасной разработки. В частности, Zig содержит: Современную систему типов, разработанную с учётом наработок других языков для большей безопасности, производительности и явности, чем в Си (опциональные типы вместо нулевых указателей, выравнивание по адресу как часть типа, целочисленные типы с размерностью от 0 до 65535 бит, кортежи, тип всех типов, тип-сумма и т.д.). … Читать далее Выпуск языка программирования Zig 0.11.0

Консорциум Khronos, занимающийся разработкой графических стандартов, опубликовал стандарт ANARI 1.0 (Analytic Rendering Interface), определяющий API для кросс-платформенных движков рендеринга и нацеленный на унификацию программных интерфейсов для визуализации данных. Реализации движков рендеринга с поддержкой стандарта ANARI уже подготовлены компаниями AMD (RadeonProRenderANARI), Intel (anari-ospray) и NVIDIA VisRTX). Также опубликованы: открытый SDK для разработки приложений, дополнение с поддержкой ANARI для пакета Blender и генератор сцен в формате USD. Поддержка ANARI интегрирована в открытые пакеты визуализации VMD, VTK/ParaView и VisIt. Предполагается, что новая спецификация значительно упростит разработку приложений, выполняющих визуализацию научных данных. ANARI предоставляет готовую высокоуровневую функциональность для построения 3D-сцен в памяти, позволяющую обойтись … Читать далее Представлен ANARI 1.0, открытый стандарт для движков 3D-рендеринга

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, отмечает своё десятилетие. Ежедневно севисом генерируется около трёх миллионов новых сертификатов. Число активных сертификатов составляет 277 млн (сертификат действует три месяца). Данные сертификаты охватывают около 111 млн зарегистрированных доменов и 350 млн полных доменных имён (FQDN). По статистике сервиса Firefox Telemetry общемировая доля запросов страниц по HTTPS составляет 79% (пик был в 2020 году, когда доля HTTPS достигла 85%, за последний два года процент загруженных по HTTPS страниц уменьшился). Источник: http://www.opennet.ru/opennews/art.shtml?num=59552 Читать далее Let’s Encrypt празднует 10 лет

Состоялся выпуск набора интернет-приложений SeaMonkey 2.53.17, который объединяет в рамках одного продукта web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. В форме предустановленных дополнений предлагаются IRC-клиент Chatzilla, набор средств для web-разработчиков DOM Inspector и календарь-планировщик Lightning. В новый выпуск перенесены исправления и изменения из актуальной кодовой базы Firefox (SeaMonkey 2.53 основан на браузерном движке Firefox 60.8 с портированием связанных с безопасностью исправлений и некоторых улучшений из актуальных веток Firefox). В новой версии устранены накопившиеся ошибки. Удалены устаревшие классы nsIPrefBranch2 и nsIPrefBranchInternal, создававшие проблемы с совместимостью с дополнениями. В почтовом клиенте отключён показ предупреждений о спаме для … Читать далее Выпуск браузеров SeaMonkey 2.53.17 и Tor Browser 12.5.2

В ChromeOS ведётся работа над проектом Lacros (Linux And ChRome OS), нацеленным на отделение браузера Chrome от оконного менеджера и системного интерфейса пользователя. Предполагается, что Lacros может быть включён по умолчанию для некоторых моделей Chromebook уже в выпуске ChromeOS 116 (в документации убрано упоминание, что для включения Lacros следует выставить экспериментальные флаги). Изначально в Chrome OS web-браузер, оконный менеджер, экран входа и системный интерфейс пользователя реализованы в одном исполняемом файле. Целью проекта Lacros является разделение браузера и элементов интерфейса системы на два разных бинарных файла — ash-chrome (интерфейс) и lacros-chrome (браузер). Разделённые компоненты могут развиваться отдельно и иметь свой цикл … Читать далее В ChromeOS намечено разделение браузера и системного интерфейса

Доступен выпуск почтового клиента Thunderbird 102.2.0, в котором по умолчанию скрыта панель для быстрой фильтрации сообщений, показываемая над списком сообщений. Для показа данной панели необходимо нажать кнопку «Quick Filter». Из других изменений: Откорректирована высота унифицированной панели инструментов и панелей на вкладках с почтовыми сообщениями для достижения единообразия с другими панелями. Решены проблемы с масштабированием в режиме просмотра нескольких сообщений. Устранена недоработка, не позволявшая получить доступ к сообщениям в IMAP-папках с высоким уровнем вложенности. Предоставлена возможность изменения размера диалогов для очистки недавней истории и работы с адресной книгой CardDAV. Исправлена ошибка, мешавшая запуску пакета в формате flatpak через ввод команды «thunderbird» … Читать далее Обновление почтового клиента Thunderbird 115.1