Опубликован инструментарий для определения дополнений, установленных в Chrome

Опубликован инструментарий с реализацией метода определения дополнений, установленных в браузере Chrome. Полученный список дополнений может использоваться для увеличения точности пассивной идентификации конкретного экземпляра браузера, в сочетании с другими косвенными признаками, такими как разрешение экрана, особенностей WebGL, списки установленных плагинов и шрифтов. Предложенная реализация проверяет установку более 1000 популярных дополнений. Для проверки своей системы предложена online-демонстрация. Определение дополнений производится через анализ предоставляемых дополнениями ресурсов, доступных для внешних запросов. Как правило, дополнения включают различные сопутствующие файлы, такие как изображения. По умолчанию подобные ресурсы доступны только для самого дополнения и регулируются в манифесте дополнения свойством web_accessible_resources, позволяющим определить какие ресурсы можно отдавать каким … Читать далее Опубликован инструментарий для определения дополнений, установленных в Chrome

Уязвимости в механизме MMIO процессоров Intel

Компания Intel раскрыла информацию о новом классе утечек данных через микроархитектурные структуры процессоров, позволяющих через манипуляцию с механизмом MMIO (Memory Mapped Input Output) определить информацию, обрабатываемую на других ядрах CPU. Например, уязвимости позволяют извлекать данные из других процессов, анклавов Intel SGX или виртуальных машин. Уязвимости специфичны только для CPU компании Intel, процессоры других производителей уязвимости не затрагивают. Уязвимости проявляются в различных CPU Intel, включая процессоры на базе микроархитектур Haswell, Skylake, IceLake, Broadwell, Lakefield, Kabylake, Cometlake и Rocketlake, а также серверные процессоры Xeon EP/EX, Scalable и некоторые Atom. Для совершения атаки требуется доступ к MMIO, который, например, может быть получен в … Читать далее Уязвимости в механизме MMIO процессоров Intel

Релиз дистрибутива Manjaro Linux 21.3

Состоялся релиз дистрибутива Manjaro Linux 21.3, построенного на основе Arch Linux и ориентированного на начинающих пользователей. Дистрибутив примечателен наличием упрощённого и дружественного пользователю процесса установки, поддержкой автоматического определения оборудования и установки необходимых для его работы драйверов. Manjaro поставляется в виде live-сборок с графическими окружениями KDE (3.5 ГБ), GNOME (3.3 ГБ) и Xfce (3.2 ГБ). При участии сообщества дополнительно развиваются сборки с Budgie, Cinnamon, Deepin, LXDE, LXQt, MATE и i3. Для управления репозиториями в Manjaro используется собственный инструментарий BoxIt, спроектированный по образу Git. Репозиторий поддерживается по принципу непрерывного включения обновлений (rolling), но новые версии проходят дополнительную стадию стабилизации. Кроме собственного репозитория, … Читать далее Релиз дистрибутива Manjaro Linux 21.3

Выпуск GhostBSD 22.06.15

Опубликован релиз десктоп-ориентированного дистрибутива GhostBSD 22.06.15, построенного на базе FreeBSD 13.1-STABLE и предлагающего пользовательское окружение MATE. По умолчанию в GhostBSD применяется файловая система ZFS. Поддерживается как работа в Live-режиме, так и установка на жесткий диск (используется собственный инсталлятор ginstall, написанный на языке Python). Загрузочные образы сформированы для архитектуры x86_64 (2.7 ГБ). В новой версии автоматизирована установка корректного драйвера NVIDIA при загрузке в Live-режиме. В утилите для установки обновлений Update Station обеспечена переустановка пакета в случае, если попытка обновления завершилась ошибкой. В GENERIC-ядре включена настройка BWN_GPL_PHY для сборки драйверов, содержащих код под лицензией GPLv2. Обеспечено определение большинства устройств на базе чипов … Читать далее Выпуск GhostBSD 22.06.15

Выпущена новая стабильная версия Miranda NG 0.96.1

Опубликован новый значительный выпуск мультипротокольного клиента для мгновенного обмена сообщениями Miranda NG 0.96.1, продолжающего развитие программы Miranda. Среди поддерживаемых протоколов: Facebook, ICQ, IRC, Jabber/XMPP, SkypeWeb, Steam, Tox, Twitter и VKontakte. Код проекта написан на языке C++ и распространяется под лицензией GPLv2. Программа пока поддерживает работу только на платформе Windows, но началась работа по реализации поддержки Linux. Из планов на будущее также отмечается добавление поддержки новых протоколов, включая WhatsApp и Telegram. Среди изменений: Представлены первые результаты портирования на Linux — ядро mir_core теперь может быть собрано для систем на базе Linux. Добавлена возможность скрывать групповые чаты из списка контактов (как обычные … Читать далее Выпущена новая стабильная версия Miranda NG 0.96.1

Выпуск Wine 7.11 и Wine staging 7.11

Состоялся экспериментальный выпуск открытой реализации WinAPI — Wine 7.11. С момента выпуска версии 7.10 было закрыто 34 отчёта об ошибках и внесено 285 изменений. Наиболее важные изменения: Драйвер для Android переведён на использование формата исполняемых файлов PE (Portable Executable) вместо ELF. В библиотеке winegstreamer реализована поддержка режима прямого вывода (без промежуточной буферизации, zero-copy) мультимедийного контента, используя GStreamer. Добавлены данные сопоставления регистров символов для расширенных плоскостей (диапазонов кодов) Unicode. Закрыты отчёты об ошибках, связанные с работой игр: Civilization 4, Mayhem Triple, Euphoria, SpinTires, Mafia, Mafia II, Saints Row The Third Remastered, Cyberpunk 2077, Stranger of Paradise, Doom Eternal, Epic Games Launcher, … Читать далее Выпуск Wine 7.11 и Wine staging 7.11

Атака на системы через WordPress-плагин Ninja Forms, насчитывающий более миллиона установок

В WordPress-дополнении Ninja Forms, имеющем более миллиона активных установок, выявлена критическая уязвимость (CVE пока не присвоен), позволяющая постороннему посетителю получить полный контроль над сайтом. Проблема устранена в выпусках 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 и 3.6.11. Отмечается, что уязвимость уже используется для совершения атак и для экстренного блокирования проблемы разработчики платформы WordPress инициировали принудительную автоматическую установку обновления на сайты пользователей. Уязвимость вызвана ошибкой в реализации функциональности Merge Tags, позволяющей неаутентифицированным пользователям вызывать некоторые статические методы из различных классов Ninja Forms (для проверки упоминания методов в передаваемых через Merge Tags данных вызывалась функция is_callable()). В том числе был доступен вызов метода, … Читать далее Атака на системы через WordPress-плагин Ninja Forms, насчитывающий более миллиона установок

Выпуск кластерной ФС Lustre 2.15

Опубликован релиз кластерной файловой системы Lustre 2.15, используемой в большей части крупнейших Linux-кластеров, содержащих десятки тысяч узлов. Ключевыми компонентами Lustre являются серверы обработки и хранения метаданных (MDS), управляющие серверы (MGS), серверы хранения объектов (OSS), хранилище объектов (OST, поддерживается работа поверх ext4 и ZFS) и клиенты. Код проекта распространяется под лицензией GPLv2. Основные новшества: Реализован режим Client Directory Encryption, позволяющий шифровать имена файлов и каталогов на стороне клиента, на стадии до передачи данных по сети и до сохранения в хранилищах объектов (OST) и метаданных (MDT). Добавлен механизм UDSP (User Defined Selection Policy), позволяющий пользователям определять правила выбора сетевых интерфейсов для передачи … Читать далее Выпуск кластерной ФС Lustre 2.15

Компания Grafana открыла код системы реагирования на инциденты OnCall

Компания Grafana Labs, развивающая платформу визуализации данных Grafana и систему мониторинга Prometheus, объявила об открытии исходных текстов системы реагирования на инциденты OnCall, предназначенной для обеспечения совместной работы команд по устранению и разбору инцидентов. OnCall ранее поставлялся в форме проприетарного продукта и был приобретён Grafana в процессе поглощения компании Amixr Inc. в прошлом году. Код проекта написан на языке Python и открыт под лицензией AGPLv3. Система позволяет собирать информацию об аномалиях и событиях из различных систем мониторинга, после чего автоматически группировать данные, направлять уведомления ответственным группам и отслеживать состояние решения проблем. Поддерживается интеграция с системами мониторинга Grafana, Prometheus, AlertManager и Zabbix. … Читать далее Компания Grafana открыла код системы реагирования на инциденты OnCall

Обновление PostgreSQL 14.4 с исправлением повреждения индексов

Сформирован корректирующий выпуск СУБД PostgreSQL 14.4, в котором устранена серьёзная проблема, при определённых обстоятельствах приводящая к незаметному повреждению данных в индексах при выполнении команд «CREATE INDEX CONCURRENTLY» и «REINDEX CONCURRENTLY». В созданных при помощи указанных команд индексах могут быть не учтены некоторые записи, что приведёт к пропуску отдельных строк при выполнении SELECT-запросов с привлечением проблемных индексов. Для определения факта повреждения индексов B-tree можно использовать команду «pg_amcheck —heapallindexed имя_БД». В случае выявления ошибок или применения в прошлых выпусках команд «CREATE INDEX CONCURRENTLY» и «REINDEX CONCURRENTLY» с другими типами индексов (GiST, GIN и т.п.) после обновления до версии 14.4 рекомендуется выполнить переиндексацию … Читать далее Обновление PostgreSQL 14.4 с исправлением повреждения индексов

Tauri 1.0 — конкурирующая с Electron платформа для создания пользовательских приложений

Опубликован выпуск проекта Tauri 1.0, развивающего фреймворк для создания многоплатформенных пользовательских приложений с графическим интерфейсом, построенных с использованием web-технологий. По своей сути Tauri напоминает платформу Electron, но отличается иной архитектурой и более низким потреблением ресурсов. Код проекта написан на языке Rust и распространяется под лицензией Apache 2.0. Логика работы приложения определяется на JavaScript, HTML и CSS, но в отличие от web-приложений, программы на базе Tauri поставляются в виде самодостаточных исполняемых файлов, не привязанных к браузеру и компилируемых для различных операционных систем. Платформа также предоставляет инструменты для организации автоматической доставки и установки обновлений. Подобный подход позволяет разработчику не заботиться о портировании … Читать далее Tauri 1.0 — конкурирующая с Electron платформа для создания пользовательских приложений

Выпуск Cambalache 0.10, инструмента для разработки GTK-интерфейсов

Опубликован релиз проекта Cambalache 0.10.0, развивающего инструмент быстрой разработки интерфейсов для GTK 3 и GTK 4, использующий парадигму MVC и философию первостепенного значения модели данных. В отличии от Glade в Cambalache предоставляется поддержка ведения нескольких интерфейсов пользователя в одном проекте. Код написан на Python и поставляется под лицензией LGPLv2.1. Для установки доступен пакет в формате flatpak. Cambalache не зависит от GtkBuilder и GObject, но предоставляет модель данных, соответствующую системе типов GObject. Модель данных может импортировать и экспортировать разом несколько интерфейсов, поддерживает объекты, свойства и сигналы GtkBuilder, предоставляет стек отката операций (Undo / Redo) и возможность сжатия истории команд. Для генерации … Читать далее Выпуск Cambalache 0.10, инструмента для разработки GTK-интерфейсов

Автор оболочки Sway и языка Hare развивает новое микроядро Helios и OC Ares

Дрю ДеВолт (Drew DeVault) представил свой новый проект — микроядро Helios. В текущем виде проект находится на начальной стадии разработки и пока поддерживает только демонстрационную загрузку на системах с архитектурой x86_64. А дальнейшем планируют реализовать поддержку архитектур iscv64 и aarch64. Код проекта написан на близком к Си языке системного программирования Hare с ассемблерными вставками и распространяется под лицензией GPLv3. Для ознакомления с состоянием разработки подготовлен тестовый iso-образ (1 МБ). Архитектура Helios построена с оглядкой на концепции микроядра seL4, в котором компоненты для управления ресурсами ядра вынесены в пространство пользователя и для них применяются те же средства разграничения доступа, как и … Читать далее Автор оболочки Sway и языка Hare развивает новое микроядро Helios и OC Ares

Выпуск графического редактора GIMP 2.10.32

Опубликован выпуск графического редактора GIMP 2.10.32. Для установки доступны пакеты в формате flatpak (пакет snap пока не готов). Выпуск в основном включает исправления ошибок. Все усилия по наращиванию функциональности сосредоточены на подготовке ветки GIMP 3, которая находится на стадии тестирования предварительных выпусков. Из изменений в GIMP 2.10.32 можно отметить: Улучшена поддержка формата TIFF. Добавлена возможность импорта изображений в формате TIFF с цветовой моделью CMYK(A) и глубиной цвета 8- и 16-бит. Также добавлена поддержка импорта и экспорта формата BigTIFF, позволяющего создавать файлы, размером более 4 ГБ. Добавлена поддержка импорта изображений в формате JPEG XL. В диалоге экспорта изображений в формате DDS … Читать далее Выпуск графического редактора GIMP 2.10.32

Доступен монолитный дистрибутив Ubuntu Core 22

Компания Canonical опубликовала релиз Ubuntu Core 22, компактного варианта дистрибутива Ubuntu, адаптированного для применения на устройствах интернета вещей (IoT), в контейнерах, потребительском и промышленном оборудовании. Ubuntu Core поставляется в форме неделимого монолитного образа базовой системы, в котором не применяется разбивка на отдельные deb-пакеты. Образы Ubuntu Core 22, состав которых синхронизирован с пакетной базой Ubuntu 22.04, подготовлены для систем x86_64, ARMv7 и ARMv8. Время сопровождения выпуска составляет 10 лет. Ubuntu Core служит основой для запуска дополнительных компонентов и приложений, которые оформляются в виде самодостаточных надстроек в формате snap. Компоненты Ubuntu Core, включая базовую систему, ядро Linux и системные надстройки, также поставляются … Читать далее Доступен монолитный дистрибутив Ubuntu Core 22

В Москве пройдёт девятая международная конференция по PostgreSQL

20 и 21 июня 2022 года в Москве в бизнес-центре гостиницы «Рэдиссон Славянская» состоится PGConf.Russia 2022, девятая международная техническая конференция по СУБД PostgreSQL. Организатором PGConf.Russia выступает компания Postgres Professional, российский поставщик СУБД PostgreSQL. Мероприятие является одним из центральных событий в международном сообществе PostgreSQL и собирает сотни специалистов из России и других стран. В конференции примут участие представители крупных российских и международных компаний – «Авито», VK Cloud Solutions, OZON, «АльфаСтрахование», «Яндекс.Облако», «ИнфоСофт», «Аладдин Р.Д»., EnterpriseDB, и других. Главные направления программы 2022 года – развитие PostgreSQL и его экосистемы, примеры использования СУБД в реальных системах, опыт эксплуатации и тюнинга, рекордные результаты по … Читать далее В Москве пройдёт девятая международная конференция по PostgreSQL

Hertzbleed — новое семейство атак по сторонним каналам, затрагивающее современные CPU

Группа исследователей из Техасского, Иллинойсского и Вашингтонского университетов раскрыли сведения о новом семействе атак по сторонним каналам (CVE-2022-23823, CVE-2022-24436), получившим кодовое имя Hertzbleed. Предложенный метод атаки основан на особенностях динамического управления частотой в современных процессорах и затрагивает все актуальные CPU Intel и AMD. Потенциально проблема может проявляться и в процессорах других производителей, поддерживающих динамическое изменение частоты, например в ARM-системах, но проведённое исследование ограничилось проверкой чипов Intel и AMD. Исходные тексты с реализацией метода атаки опубликованы на GitHub (реализация протестирована на компьютере с CPU Intel i7-9700). Для оптимизации энергопотребления и предотвращения перегрева процессоры динамически изменяют частоту в зависимости от нагрузки, что … Читать далее Hertzbleed — новое семейство атак по сторонним каналам, затрагивающее современные CPU

Выпуск дистрибутива EuroLinux 9.0, совместимого с Red Hat Enterprise Linux

Опубликован релиз дистрибутива EuroLinux 9.0, подготовленного путём пересборки исходных текстов пакетов дистрибутива Red Hat Enterprise Linux 9.0 и полностью бинарно совместимого с ним. Для загрузки подготовлены установочные образы, размером 6.5 ГБ (appstream) и 1.4 ГБ. Дистрибутив аналогичен по функциональности и добавленным новшествам с RHEL 9.0. Сборки EuroLinux распространяются как по платной подписке, так и бесплатно. Сборки, предоставляемые по платной подписке и бесплатно, идентичны, формируются одновременно, включают полный набор системных возможностей и позволяют получать обновления. Отличия платной подписки сводятся к предоставлению услуг технической поддержки, доступу к файлам errata и возможности использования дополнительных пакетов, включающих средства для балансировки нагрузки, обеспечения высокой доступности … Читать далее Выпуск дистрибутива EuroLinux 9.0, совместимого с Red Hat Enterprise Linux

Компания Valve выпустила Proton 7.0-3, пакет для запуска Windows-игр в Linux

Компания Valve опубликовала выпуск проекта Proton 7.0-3, который основан на кодовой базе проекта Wine и нацелен на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Наработки проекта распространяются под лицензией BSD. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 9/10/11 (на базе пакета DXVK) и DirectX 12 (на базе vkd3d-proton), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. Для увеличения производительности многопоточных игр поддерживаются механизмы «esync» … Читать далее Компания Valve выпустила Proton 7.0-3, пакет для запуска Windows-игр в Linux

Выпуск свободной САПР FreeCAD 0.20

После более года разработки опубликован релиз открытой системы параметрического 3D-моделирования FreeCAD 0.20, которая отличается гибкими возможностями кастомизации и наращивания функциональности через подключение дополнений. Интерфейс построен с использованием библиотеки Qt. Дополнения могут создаваться на языке Python. Поддерживается сохранение и загрузка моделей в различных форматах, в том числе в STEP, IGES и STL. Код FreeCAD распространяется под лицензией LGPLv2, в качестве моделирующего ядра используется Open CASCADE. Готовые сборки в ближайшее время будут подготовлены для Linux (AppImage), macOS и Windows. FreeCAD позволяет, меняя параметры модели, обыгрывать различные варианты проектирования и оценивать работу в различные моменты разработки модели. Проект может выступать свободной заменой коммерческим … Читать далее Выпуск свободной САПР FreeCAD 0.20

В Firefox по умолчанию включён режим полной изоляции Cookie

Компания Mozilla объявила о включении по умолчанию для всех пользователей режима полной защиты Cookie (Total Cookie Protection). Ранее данный режим включался только при открытии сайтов в режиме приватного просмотра и при выборе строгого режима блокировки нежелательного контента (strict). Предложенный метод защиты подразумевает использование для каждого сайта отдельного изолированного хранилища для Cookie, что не позволяет использовать Cookie для отслеживания перемещения между сайтами, так как все Cookie, выставляемые из загружаемых на сайт сторонних блоков (iframe, js и т.п.), привязываются к сайту, с которого эти блоки были загружены, и не передаются при обращении к этим блокам с других сайтов. В виде исключения возможность … Читать далее В Firefox по умолчанию включён режим полной изоляции Cookie