GitHub объявил о добавлении в сервис Code scanning экспериментальной системы машинного обучения для выявления распространённых типов язвимостей в коде. На этапе тестирования новая функциональность пока доступна только для репозиториев с кодом на языках JavaScript и TypeScript. Отмечается, что применение системы машинного обучения позволило заметно расширить спектр выявляемых проблем, при анализе которых система теперь не ограничивается проверкой типовых шаблонов и не привязывается к известным фреймворкам. Из выявляемых новой системой проблем упоминаются ошибки, приводящие к межсайтовому скриптингу (XSS), искажению файловых путей (например, через указание «/..»), подстановке SQL- и NoSQL-запросов. Сервис Code scanning позволяет выявлять уязвимости на ранней стадии разработки через сканирование каждой … Читать далее GitHub внедрил систему машинного обучения для поиска уязвимостей в коде

Проект GNOME перевёл графическую библиотеку Clutter в число устаревших проектов, разработка которых прекращена. Начиная с GNOME 42, библиотека Clutter и связанные с ней компоненты Cogl, Clutter-GTK и Clutter-GStreamer будут удалены из GNOME SDK, а связанный с ними код перенесён в архивные репозитории. Для обеспечения совместимости с существующими расширениями в составе GNOME Shell будут оставлены внутренние копии Cogl и Clutter, которые продолжат поставляться в обозримом будущем. Разработчикам приложений, в которых используется GTK3 вместе с Clutter, Clutter-GTK или Clutter-GStreamer рекомендовано перевести свои программы на GTK4, libadwaita и GStreamer. Если это невозможно следует отдельно добавить Cogl, Clutter, Clutter-GTK и Clutter-GStreamer в зависимости к … Читать далее GNOME прекращает сопровождение графической библиотеки Clutter

Компания Qualys выявила две уязвимости (CVE-2021-44731, CVE-2021-44730) в утилите snap-confine, поставляемой с флагом SUID root и вызываемой процессом snapd для формирования исполняемого окружения для приложений, поставляемых в самодостаточных пакетах в формате snap. Уязвимости позволяют локальному непривилегированному пользователю добиться выполнения кода с правами root в системе. Проблемы устранены в сегодняшнем обновлении пакетов snapd для Ubuntu 21.10, 20.04 и 18.04. Первая уязвимость (CVE-2021-44730) позволяет совершить атаку через манипуляцию жёсткими ссылками, но требует отключения системной защиты жёстких ссылок (установки sysctl fs.protected_hardlinks в 0). Проблема вызвана некорректной проверкой местоположения исполняемых файлов вспомогательных программ snap-update-ns и snap-discard-ns, запускаемых с правами root. Путь к данным файлам … Читать далее Локальные root-уязвимости в инструментарии управления пакетами Snap

Доступен корректирующий выпуск Firefox 97.0.1, в котором устранено несколько ошибок: Решена проблема, приводящая к сбою при попытке загрузки из TikTok видео, выбранного на странице с профилем пользователя. Устранена ошибка, не дающая просматривать видео из сервиса Hulu в режиме «картинка в картинке». Устранён сбой, приводящий к нарушению отрисовки при использовании антивируса WebRoot SecureAnywhere. Решена проблема с выводом после запуска страницы восстановления сеанса, когда в этом нет необходимости. Источник: http://www.opennet.ru/opennews/art.shtml?num=56716 Читать далее Обновление Firefox 97.0.1

Представлен выпуск KaOS 2022.02, дистрибутива с непрерывной моделью обновления, нацеленного на предоставление рабочего стола на основе свежих выпусков KDE и приложений, использующих Qt. Из специфичных для дистрибутива особенностей оформления можно отметить размещение вертикальной панели в правой стороне экрана. Дистрибутив развивается с оглядкой на Arch Linux, но поддерживает собственный независимый репозиторий, насчитывающий более 1500 пакетов, а также предлагает ряд собственных графических утилит. В качестве файловой системы по умолчанию применяется XFS. Сборки публикуются для систем x86_64 (3 ГБ). В новом выпуске: По умолчанию задействован сеанс KDE на основе протокола Wayland. Компоненты рабочего стола обновлены до KDE Plasma 5.24, KDE Frameworks 5.91.0, KDE … Читать далее Выпуск дистрибутива KaOS 2022.02

Представлен инструментарий Unredacter, позволяющий восстановить изначальный текст, после его скрытия с применением фильтров на основе пикселизации. Например, программа может использоваться для определения конфиденциальных данных и паролей, пикселизированных на скриншотах или снимках документов. Утверждается, что реализованный в Unredacter алгоритм превосходит ранее доступные аналогичные утилиты, такие как Depix, и в том числе успешно использован для прохождения теста на определение пиксилизированного текста, предложенного лабораторией Jumpsec. Код программы написан на TypeScript и распространяется под лицензией GPLv3. Для восстановления текста в Unredacter применяется метод обратного подбора, в соответствии с которым выполняется сравнение части исходного пикселизированного изображения с вариантом, синтезированным путём перебора пар символов, пикселизируемых с … Читать далее Представлен Unredacter, инструмент для определения пикселизированного текста

Доступен выпуск XWayland 21.2.0, DDX-компонента (Device-Dependent X), обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. Основные изменения: Добавлена поддержка протокола DRM Lease, позволяющего X-серверу функционировать в роли контроллера DRM (Direct Renderering Manager), предоставляющего DRM-ресурсы клиентам. С практической стороны протокол используется для формирования стереокартинки с разными буферами для левого и правого глаза при выводе на шлемы виртуальной реальности. В GLX добавлены настройки фреймбуфера (fbconfig) для поддержки цветового пространства sRGB (GL_FRAMEBUFFER_SRGB). В число зависимостей включена библиотека libxcvt. Переработан код с реализацией расширения Present, предоставляющего композитному менеджеру средства для копирования или собственной обработки пиксельных карт перенаправленного окна, синхронизации … Читать далее Выпуск XWayland 21.2.0, компонента для запуска X11-приложений в Wayland-окружениях

Торстен Беренс (Thorsten Behrens), один из лидеров команды развития графической подсистемы LibreOffice, опубликовал демонстрационную версию варианта офисного пакета LibreOffice, скомпилированного в промежуточный код WebAssembly и способного запускаться в web-браузере (на систему пользователя загружается около 300 МБ данных). Для преобразования в WebAssembly задействован компилятор Emscripten, а для организации вывода VCL-бэкенд (Visual Class Library) на базе модифицированного фреймворка Qt5. Специфичные для поддержки WebAssembly исправления развиваются в основном репозитории LibreOffice. В отличие от редакции LibreOffice Online сборка на базе WebAssembly позволяет запустить в браузере офисный пакет целиком, т.е. весь код запускается на стороне клиента, в том время как LibreOffice Online выполняется и обрабатывает … Читать далее Вариант LibreOffice, скомпилированный в WebAssembly и работающий в web-браузере

Компания Valve опубликовала выпуск проекта Proton 7.0, который основан на кодовой базе проекта Wine и нацелен на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Наработки проекта распространяются под лицензией BSD. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 9/10/11 (на базе пакета DXVK) и DirectX 12 (на базе vkd3d-proton), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. Для увеличения производительности многопоточных игр поддерживаются механизмы «esync» … Читать далее Компания Valve выпустила Proton 7.0, пакет для запуска Windows-игр в Linux

Компания Google представила операционную систему Chrome OS Flex, представляющую собой новый вариант Chrome OS, предназначенный для использования на обычных компьютерах, а не только на изначально поставляемых с Chrome OS устройствах, таких как Chromebook, Chromebase и Chromebox. В качестве основных областей применения Chrome OS Flex упоминается модернизация уже имеющихся старых систем для продления их жизненного цикла, снижение издержек (например не нужно платить за ОС и дополнительное ПО, такое как антивирусы), повышение безопасности инфраструктуры и унификация программного обеспечения, используемого в компаниях и учебных заведениях. Система поставляется бесплатно, а исходные тексты распространяются под свободной лицензией Apache 2.0. В настоящее время для начального тестирования … Читать далее Google представил Chrome OS Flex, пригодный для установки на любое оборудование

Состоялся релиз свободной и бесплатной системы мониторинга с полностью открытым исходным кодом Zabbix 6.0 LTS. Выпуск 6.0 отнесён к версиям с длинным сроком официальной поддержки (LTS). Для пользователей, которые используют не-LTS версии, рекомендуем переход на LTS версии продукта. Zabbix — универсальная система для мониторинга производительности и доступности серверов, инженерного и сетевого оборудования, приложений, баз данных, систем виртуализации, контейнеров, ИТ-сервисов, веб-сервисов, облачной инфраструктуры. Система реализует полный цикл от сбора данных, их обработки и преобразования, анализа этих данных для обнаружения проблем, и заканчивая хранением этих данных, визуализацией и рассылкой оповещений с использованием правил эскалаций. Также система предоставляет гибкие возможности расширения методов сбора … Читать далее Выпуск системы мониторинга Zabbix 6.0 LTS

Компания Google сформировала обновление Chrome 98.0.4758.102, в котором исправлены 11 уязвимостей, в том числе одна опасная проблема, уже применяемая злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что уязвимость (CVE-2022-0609) вызвана обращением к области памяти после её освобождения (use-after-free) в коде, связанном с API Web Animations. Из других опасных уязвимостей отмечается переполнение буфера в системе для работы с группами вкладок, целочисленное переполнение в в IPC-фреймворке Mojo, а также обращения к освобождённым областям памяти в ANGLE (прослойка для трансляции вызовов OpenGL ES в OpenGL, Direct3D 9/11, Desktop GL и Vulkan), коде для взамодействия с GPU и реализациях API File … Читать далее Обновление Chrome 98.0.4758.102 с устранением 0-day уязвимостей

Доступен дистрибутив AV Linux MX-21, содержащий подборку приложений для создания/обработки мультимедийного контента. Дистрибутив основан на пакетной базе проекта MX Linux и дополнительных пакетов собственной сборки (Polyphone, Shuriken, Simple Screen Recorder и т.п.). Дистрибутив может функционировать в Live-режиме и доступен для архитектуры x86_64 (3.4 ГБ). Пользовательское окружение основано на Xfce4 с оконным менеджером OpenBox вместо xfwm. В поставку входят звуковые редакторы Ardour, ArdourVST, Harrison, Mixbus, система 3D-проектирования Blender, редакторы видео Cinelerra, Openshot, LiVES и инструменты для преобразования мультимедийных форматов файлов. Для коммутации звуковых устройств предлагается JACK Audio Connection Kit (используется JACK1/Qjackctl, а не JACK2/Cadence). Дистрибутив снабжён подробным иллюстрированным руководством (PDF, 74 … Читать далее Опубликован AV Linux MX-21, дистрибутив для создания аудио- и видеоконтента

Доступен выпуск Firefox-дополнения libredirect 1.3, выполняющего автоматическое перенаправление на альтернативные варианты популярных сайтов, обеспечивающие конфиденциальность, позволяющие просматривать контент без регистрации и способные работать без JavaScript. Например, для просмотра Instagram в анонимном режиме без регистрации осуществляется проброс на фронтэнд Bibliogram, а для просмотра Wikipediа без JavaScript применяется Wikiless. Код проекта распространяется под лицензией GPLv3. Применяемые замены: Youtube => Piped, Invidious, FreeTube Twitter => Nitter Instagram => Bibliogram TikTok => ProxiTok Imgur => Rimgo Reddit => Libreddit, Teddit, Old Reddit, Mobile Reddit Google Search => SearX, Whoogle Google Translate => SimplyTranslate, LingvaTranslate Google Maps => OpenStreetMap Wikipedia => Wikiless Medium => Scribe … Читать далее Выпуск LibRedirect 1.3, дополнения для альтернативного представления популярных сайтов

Опубликован qxkb5, интерфейс для переключения раскладки клавиатуры, позволяющий выбирать разное поведение для разных окон. Например, для окон с мессенджерами можно зафиксировать только русскую раскладку. Программа также позволяет использовать как встроенные графические так и текстовые языковые метки. Код написан на С++ и распространяется под лицензией GPLv3. Поддерживаемые режимы работы: Режим normal — активное окно запоминает последнюю раcкладку; Режим first — на активном окне определена строгая очерёдность языковых раскладок; Режим fixed — на активном окне только одна языковая раскладка. Источник: http://www.opennet.ru/opennews/art.shtml?num=56680 Читать далее Опубликвоан qxkb5, языковой переключатель, основанный на xcb и Qt5

Исследователи из команды Google Project Zero обобщили данные о времени реакции производителей на выявления новых уязвимостей в их продуктах. В соответствии с политикой Google, на устранение уязвимостей, выявленных исследователями из Google Project Zero, даётся 90 дней, плюс дополнительно публичная огласка может быть сдвинута ещё на 14 дней по отдельному запросу. После 104 дней сведения об уязвимости раскрываются даже если проблема остаётся неисправленной. С 2019 по 2021 год проектом выявлено 376 проблем, из которых было исправлено 351 (93.4%). Без исправления остались 11 (2.9%) уязвимостей, а ещё 14 (3.7%) проблем были помечены как не подлежащие исправлению (WontFix). С годами отмечается снижение числа … Читать далее Оценка оперативности устранения уязвимостей, обнаруженных Google Project Zero

Мигель Охеда (Miguel Ojeda), автор проекта Rust-for-Linux, предложил для рассмотрения разработчиками ядра Linux пятый вариант компонентов для разработки драйверов устройств на языке Rust. Поддержка Rust рассматривается как экспериментальная, но уже включена в ветку linux-next и достаточно развита для начала работы по созданию слоёв абстракции над подсистемами ядра, а также для написания драйверов и модулей. Разработка финансируется компанией Google и организацией ISRG (Internet Security Research Group), которая является учредителем проекта Let’s Encrypt и способствует продвижению HTTPS и развитию технологий для повышения защищённости интернета. Напомним, что предложенные изменения дают возможность использовать Rust в качестве второго языка для разработки драйверов и модулей ядра. … Читать далее Пятая редакция патчей для ядра Linux с поддержкой языка Rust

Представлен выпуск Rakudo 2022.02, компилятора для языка программирования Raku (бывший Perl 6). Проект был переименован из Perl 6 так как не стал продолжением Perl 5, как ожидалось изначально, а превратился в отдельный язык программирования, не совместимый с Perl 5 на уровне исходных текстов и развиваемый отдельным сообществом разработчиков. Одновременно доступен выпуск виртуальной машины MoarVM 2022.02, формирующей среду для запуска скомпилированного в Rakudo байт-кода. В Rakudo компиляция также поддерживается для JVM и некоторых виртуальных машин для JavaScript. Из улучшений в Rakudo 2022.02 отмечается поддержка переменной окружения $RAKUDO_OPT для определения применяемых в компиляторе опций по умолчанию, добавлена функция rotor для группировки элементов … Читать далее Релиз компилятора Rakudo 2022.02 для языка программирования Raku (бывший Perl 6)

После более года разработки опубликован выпуск коммуникационного клиента Dino 0.3, поддерживающего участие в чатах и обмен сообщениями с использованием протокола Jabber/XMPP. Программа совместима с различными клиентами и серверами XMPP, ориентирована на обеспечение конфиденциальности переговоров и поддерживает сквозное шифрование с применением XMPP-расширения OMEMO на базе протокола Signal или шифрование при помощи OpenPGP. Код проекта написан на языке Vala с использованием тулкита GTK и распространяется под лицензией GPLv3+. В новой версии помимо текстовых сообщений реализована поддержка видеовызовов и видеоконференций, позволяющих совершать видеовызовы с привлечением двух и большего числа участников. Видеопотоки шифруются с использованием оконечного шифрования, а трафик направляется напрямую между пользователями в … Читать далее Выпуск коммуникационного клиента Dino 0.3

Доступен выпуск uChmViewer 8.2, форка KchmViewer, программы для просмотра файлов в форматах chm (MS HTML help) и epub. Релиз добавляет поддержку KDE Framework 5 вместо KDE4 и начальную поддержку Qt6 вместо Qt4. Ответвление отличается включением некоторых улучшений, которые не попали и скорее всего не попадут в основной состав KchmViewer. Код написан на С++ и поставляется под лицензией GPLv3. Основные изменения: Форк переименован в uChmViewer. Также удалена проверка кода на наличие обновлений. Прекращена поддержка Qt4 и KDE4 в основной ветке. Код, специфичный для Qt4, был удалён. Добавлена поддержка KDE Framework 5 с помощью KDELibs4Support. Добавлена ограниченная поддержка Qt6. Приложение собирается с … Читать далее Релиз uChmViewer, программы для просмотра файлов chm и epub

Компания Google представила первую тестовую версию открытой мобильной платформы Android 13. Релиз Android 13 ожидается в третьем квартале 2022 года. Для оценки новых возможностей платформы предложена программа предварительного тестирования. Сборки прошивки подготовлены для устройств Pixel 6/6 Pro, Pixel 5/5a, Pixel 4/4a/4. Ключевые новшества Android 13: Реализован системный интерфейс выбора фотографий и видео, а также API для выборочного предоставления доступа приложений к выбранным файлам. Возможна работа как с локальными файлами, так и с данными, размещёнными в облачных хранилищах. Особенностью интерфейса является то, что он позволяет предоставить доступ к отдельным изображениям и видео без открытия приложению полного доступа на просмотр всех мультимедийных … Читать далее Предварительный выпуск Android 13. Удалённая уязвимость в Android 12