Zola Bridges из компании Google предложил для набора компиляторов LLVM патч с реализацией защиты SESES (Speculative Execution Side Effect Suppression), помогающей блокировать атаки на механизм спекулятивного выполнения в CPU Intel, подобные LVI. Метод защиты реализован на уровне компилятора и основан на добавлении компилятором при генерации машинного кода инструкций LFENCE, которые подставляются перед каждой инструкцией чтения из памяти или записи в память, а также перед первой инструкцией ветвления в группе инструкций, завершающей блок. Инструкция LFENCE ожидает фиксации всех предыдущих операций чтения из памяти и запрещает упреждающее выполнение следующих после LFENCE инструкций, до того как фиксация будет завершена. Применение LFENCE приводит к … Читать далее Предложенная Google программная защита от атаки LVI показала снижение производительности в 14 раз

Компания Mozilla приняла решение временно вернуть поддержку протоколов TLS 1.0/1.1, которые были отключены по умолчанию в Firefox 74. Поддержка TLS 1.0/1.1 будет возвращена без выпуска новой версии Firefox через систему экспериментов, применяемых для пробных внедрений новых возможностей. В качестве причины упоминаются то, что из-за пандемии коронавируса SARS-CoV-2 люди вынуждены работать из дома и не могут получить доступ к некоторым важным государственным сайтам, которые до сих пор не поддерживают TLS 1.2. Напомним, что в Firefox 74 для обращения к сайтам по защищённому каналу связи сервер должен предоставить поддержку как минимум TLS 1.2. Отключение произведено в соответствии с рекомендациями IETF (Internet Engineering … Читать далее Mozilla возвращает поддержку TLS 1.0/1.1 в Firefox

Zola Bridges из компании Google предложил для набора компиляторов LLVM патч с реализацией защиты SESES (Speculative Execution Side Effect Suppression), помогающей блокировать атаки на механизм спекулятивного выполнения в CPU Intel, подобные LVI. Метод защиты реализован на уровне компилятора и основан на добавлении компилятором при генерации машинного кода инструкций LFENCE, которые подставляются перед каждой инструкцией чтения из памяти или записи в память, а также перед первой инструкцией ветвления в группе инструкций, завершающей блок. Похожий метод защиты также предложен и реализован инженерами Intel. Инструкция LFENCE ожидает фиксации всех предыдущих операций чтения из памяти и запрещает упреждающее выполнение следующих после LFENCE инструкций, до … Читать далее Программная защита от атаки LVI показала снижение производительности в 14 раз

Сформирован выпуск прослойки DXVK 1.6, предоставляющей реализацию DXGI (DirectX Graphics Infrastructure), Direct3D 9, 10 и 11, работающую через трансляцию вызовов в API Vulkan. Для использования DXVK требуется наличие драйверов с поддержкой API Vulkan 1.1, таких как AMD RADV 18.3, NVIDIA 415.22, Intel ANV 19.0 и AMDVLK. DXVK может применяться для запуска 3D-приложений и игр в Linux при помощи Wine, выступая в качестве более высокопроизводительной альтернативы встроенной в Wine реализации Direct3D 11, работающей поверх OpenGL. Основные изменения: Прекращена установка по умолчанию вспомогательных библиотек Direct3D 10 — d3d10.dll и d3d10_1.dll, так как для поддержки D3D10 в DXVK требуется d3d10core.dll и d3d11.dll (под … Читать далее Выпуск DXVK 1.6, реализации Direct3D 9/10/11 поверх API Vulkan

Увидел свет выпуск альтернативной сборки дистрибутива Linux Mint — Linux Mint Debian Edition 4, выполненной на основе пакетной базы Debian (классический Linux Mint базируется на пакетной базе Ubuntu). Кроме использования пакетной базы Debian, важным отличием LMDE от Linux Mint является постоянный цикл обновления пакетной базы (модель непрерывных обновлений: частичный роллинг-релиз, semi-rolling release), при котором обновления пакетов выходят постоянно и пользователь в любой момент имеет возможность перейти на последние версии программ. Дистрибутив доступен в виде установочных iso-образов с десктоп-окружением Cinnamon. В поставку LMDE включено большинство улучшений классического релиза Mint 19.3, в том числе оригинальные разработки проекта (менеджер обновлений, конфигураторы, меню, интерфейс, … Читать далее Выпуск дистрибутива Linux Mint Debian Edition 4

Подведены итоги двух дней соревнований Pwn2Own 2020, ежегодно проводимых в рамках конференции CanSecWest. В этом году соревнования проводились виртуально и атаки демонстрировались online. На соревновании были представлены рабочие техники эксплуатации ранее неизвестных уязвимостей в Ubuntu Desktop (ядре Linux), Windows, macOS, Safari, VirtualBox и Adobe Reader. Суммарный размер выплат составил 270 тысяч долларов (общий призовой фонд составлял более более 4 млн долларов США). Локальное повышение привилегий в Ubuntu Desktop через эксплуатацию уязвимости в ядре Linux, связанной с некорректной проверкой входных значений (приз 30 тыс. долларов); Демонстрация выхода из гостевого окружения в VirtualBox и выполнения кода с правами гипервизора, эксплуатируя две уязвимости … Читать далее На соревновании Pwn2Own 2020 продемонстрированы взломы Ubuntu, Windows, macOS и VirtualBox

Разработчики Debian представили набор сервисов Debian Social, которые будут размещаться на сайте debian.social и нацелены на упрощение общения и обмена контентом между участниками проекта. Конечной целью является создание безопасного пространства для разработчиками и сторонников проекта, в котором они могут делится информацией о проводимой работе, демонстрировать результаты, общаться с коллегами и делиться знаниями. В настоящее время в тестовом режиме запущены следующие сервисы: pleroma.debian.social (используется ПО Pleroma) — децентрализованная платформа для ведения микроблогов, напоминающая Mastodon, Gnu Social и Statusnet; pixelfed.debian.social (используется ПО Pixelfed)- сервис обмена фотографиями, который может применяться, например, для размещения фотоотчётов; peertube.debian.social (используется ПО PeerTube) — децентрализованная платформа для организации … Читать далее Проект Debian анонсировал сервисы Debian Social

Роб Айзенберг (Rob Eisenberg), создатель web-фреймворка Aurelia, сообщил о блокировке компанией GitHub репозиториев, сайта и доступа к настройкам администратора проекта Aurelia. Роб получил от GitHub письмо, в котором сообщалось, что блокировка произведена из-за торговых санкций США. Примечательно, что Роб живёт в США и работает инженером в компании Microsoft, которая владеет GitHub, поэтому ему было даже трудно предположить, каким образом к его проекту можно привязать санкции. После отправки апелляции в течение часа GitHub снял блокировку, после чего перед сообществом публично извинился Нэт Фридмэн (Nat Friedman), руководитель GitHub. Нэт пояснил, что блокировка была ужасной ошибкой и в GitHub запущено расследование того, как … Читать далее GitHub по ошибке ограничил доступ к репозиторию Aurelia из-за торговых санкций

Компания Google представила вторую тестовую версию открытой мобильной платформы Android 11. Релиз Android 11 ожидается в третьем квартале 2020 года. Для оценки новых возможностей платформы предложена программа предварительного тестирования. Сборки прошивки подготовлены для устройств Pixel 2 / 2 XL, Pixel 3 / 3 XL, Pixel 3a / 3a XL и Pixel 4 / 4 XL. Для установивших первый тестовый выпуск предоставлено OTA-обновление. Основные изменения по сравнению с первым тестовым выпуском Android 11: Добавлен 5G state API, дающий возможность приложению быстро определить подключение через 5G в режимах New Radio или Non-Standalone. Для устройств со сгибающимися складными экранами добавлен API для получения … Читать далее Второй предварительный выпуск мобильной платформы Android 11

Состоялся релиз дистрибутива OS108 9.0, основанного на NetBSD 9.0 и рабочем столе MATE. Проект преподносится создателем как безопасная ОС, которая может использоваться вместо Windows и macOS. Наработки проекта распространяются под лицензией ISC. Для загрузки предложен Live-образ, размером 1.9 Гб (x86_64). Для установки на жёсткий диск применяется утилита sysinst, но проект развивает и графический инсталлятор OS108i (форк gbi, инсталлятора GhostBSD), выполненный в форме надстройки над pc-sysinstall и поддерживающий установку после загрузки в Live-режиме с DVD или USB Flash. В разработке также находится менеджер приложений AppCentral, основанный на software-station от проекта GhostBSD. Источник: http://www.opennet.ru/opennews/art.shtml?num=52571 Читать далее Доступен OS108 9.0, пользовательский дистрибутив на основе NetBSD

Опубликован выпуск Live-дистрибутива FuryBSD 12.1, построенного на базе FreeBSD и поставляемого в сборках с рабочими столами Xfce (1.8 Гб) и KDE (3.4 Гб). Проект развивает Джо Мэлоуни (Joe Maloney) из компании iXsystems, курирующей TrueOS и FreeNAS, но FuryBSD позиционируется как поддерживаемый сообществом независимый проект, не связанный с iXsystems. Live-образ может быть записан как на DVD, так и на USB Flash. Имеется режим стационарной установки путём переноса Live-окружения со всеми изменениями на диск (используется bsdinstall и установка на раздел с ZFS). Для обеспечения записи в Live-системе применяется UnionFS. В отличие от сборок на базе TrueOS, проект FuryBSD рассчитан на тесную интеграцию … Читать далее Выпуск FuryBSD 12.1, Live-сборки FreeBSD с рабочими столами KDE и Xfce

Разработчики Firefox представили план полного прекращения поддержки протокола FTP, что коснётся как возможности загрузки файлов по FTP, так и просмотра содержимого каталогов на FTP-серверах. В выпуске Firefox 77, намеченном на 2 июня, поддержка FTP будет по умолчанию отключена, но в about:config будет добавлена настройка «network.ftp.enabled», позволяющая вернуть FTP. В ESR-сборках Firefox 78 поддержка FTP по умолчанию останется включённой. В 2021 году планируется полностью удалить связанный с FTP код. В качестве причины прекращения поддержки FTP называется незащищённость данного протокола от модификации и перехвата транзитного трафика при совершении MITM-атак. По мнению разработчиков Firefox, в современных условиях нет причин в использовании FTP вместо … Читать далее В Firefox планируют полностью убрать поддержку FTP

Представлены корректирующие выпуски инструментария Tor ( 0.3.5.10, 0.4.1.9, 0.4.2.7, 0.4.3.3-alpha), используемого для организации работы анонимной сети Tor. В новых версиях устранены две уязвимости: CVE-2020-10592 — может использоваться любым злоумышленником для инициирования отказа в обслуживании релеев. Атака также может быть проведена со стороны серверов каталогов Tor для атаки на клиентов и скрытых сервисов. Атакующий может создать условия, приводящие к слишком большой нагрузке на CPU, нарушающей нормальною работу на несколько секунд или минут (повторяя атаку можно растянуть DoS на длительное время). Проблема проявляется начиная с выпуска 0.2.1.5-alpha. CVE-2020-10593 — удалённо инициируемая утечка памяти, возникающая при двойном согласовании добавочных ячеек (circuit padding) для … Читать далее Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS-уязвимости

Из-за изменения рабочего графика сотрудников компания Google приостановила публикацию выпусков Chrome 81 и Chrome OS 81, намеченных на 17 и 24 марта. Отмечается, что главными целями является обеспечения стабильности, безопасности и надёжности работы Chrome. Обновления с устранением уязвимостей продолжат формироваться в приоритетном порядке и при необхолимости будут доставлены в форме обновления для Chrome 80. Из-за пандемии коронавируса COVID-19 на этой неделе большая часть сотрудников Google была переведена на работу на дому, что также привело к задержкам в рецензировании обновлений приложений в каталоге Google Play. Источник: http://www.opennet.ru/opennews/art.shtml?num=52567 Читать далее Выпуск Chrome 81 отложен из-за перехода сотрудников Google к работе на дому

Компания RiskSense опубликовала результаты анализа 1622 уязвимостей во фреймворках и платформах для Web, выявленных с 2010 по ноябрь 2019 года. Некоторые выводы: На WordPress и Apache Struts приходится 57% всех уязвимостей, для которых подготовлены эксплоиты для совершения атак. Далее следуют Drupal, Ruby on Rails и Laravel. В списке платформ с эксплуатируемыми уязвимостями также приводятся Node.js и Django, но в них найдено по одной уязвимости с эксплоитом из 56 и 66 имеющихся уязвимостей. Из наиболее распространённых уязвимостей в WordPress называется межсайтовый скриптинг, а в Apache Struts — проблемы с проверкой входных данных. Проекты на языках PHP и Java лидируют по числу … Читать далее WordPress и Apache Struts среди web-платформ лидируют по числу уязвимостей с эксплоитами

Сформирован первый бета-выпуск дистрибутива Devuan 3.0 «Beowulf», форка Debian GNU/Linux, поставляемого без системного менеджера systemd. Новая ветка примечательна переходом на пакетную базу Debian 10 «Buster». Для загрузки подготовлены Live-сборки и установочные iso-образы для архитектур AMD64 и i386. Специфичные для Devuan пакеты можно загрузить из репозитория packages.devuan.org. В рамках проекта созданы ответвления для 381 пакета Debian, которые модифицированы для избавления от привязок к systemd, ребрендинга или адаптации для особенностей инфраструктуры Devuan. Два пакета (devuan-baseconf, jenkins-debian-glue-buildenv-devuan) присутствуют только в Devuan и связаны с настройкой репозиториев и работой сборочной системы. В остальном Devuan полностью совместим с Debian и может использоваться в качестве основы … Читать далее Бета-выпуск дистрибутива Devuan 3, форка Debian без systemd

После четырёх месяцев бета-тестирования GitHub сообщил о стабилизации мобильных приложений для iOS и Android, позволяющих использовать смартфон или планшет для участия в разработке. Приложения позволяют отслеживать состояние проекта, просматривать код, разбирать сообщения о проблемах (issue) и отвечать на них, рецензировать pull-запросы и производить слияние изменений. Источник: http://www.opennet.ru/opennews/art.shtml?num=52560 Читать далее GitHub опубликовал приложения для работы с мобильных устройств

После шести месяцев разработки компания Oracle выпустила платформу Java SE 14 (Java Platform, Standard Edition 14), в качестве эталонной реализации которой используется открытый проект OpenJDK. В Java SE 14 сохранена обратная совместимость с прошлыми выпусками платформы Java, все ранее написанные Java-проекты без изменений будут работоспособны при запуске под управлением новой версии. Готовые для установки сборки Java SE 14 (JDK, JRE и Server JRE) подготовлены для Linux (x86_64), Solaris, Windows и macOS. Разработанная в рамках проекта OpenJDK эталонная реализация Java 14 полностью открыта под лицензией GPLv2 с исключениями GNU ClassPath, разрешающими динамическое связывание с коммерческими продуктами. Java SE 14 отнесён к … Читать далее Выпуск Java SE 14

Началось тестирование бета-версии дистрибутива Fedora 32. Бета-выпуск ознаменовал переход на финальную стадию тестирования, при которой допускается только исправление критических ошибок. Релиз запланирован на конец апреля. Выпуск охватывает Fedora Workstation, Fedora Server, Fedora Silverblue и Live-сборки, поставляемые в форме спинов c десктоп-окружениями KDE Plasma 5, Xfce, MATE, Cinnamon, LXDE и LXQt. Сборки подготовлены для архитектур x86_64, ARM (Raspberry Pi 2 и 3), ARM64 (AArch64) и Power. Наиболее заметные изменения в Fedora 32: В сборках для рабочих станций по умолчанию активирован фоновый процесс earlyoom, который позволит более оперативно реагировать на нехватку памяти, не доходя до вызова обработчика OOM (Out Of Memory) в … Читать далее Дистрибутив Fedora 32 перешёл на стадию бета-тестирования

Представлен проект OpenSilver, нацеленный на создание открытой реализации платформы Silverlight, развитие которой прекращено компанией Microsoft в 2011 году, а сопровождение продлится до 2021 года. Как и в случае с Adobe Flash, разработка Silverlight была свёрнута в пользу применения стандартных Web-технологий. В своё время на базе Mono уже развивалась открытая реализация Silverlight — Moonlight, но её разработка была остановлена из-за невостребованности технологии пользователями. Проектом OpenSilver предпринята ещё одна попытка возрождения технологии Silverlight, позволяющей создавать интерактивные web-приложения, используя C#, XAML и .NET. Одной из основных решаемых проектом задач является продление жизни существующих Silverlight-приложений в условиях прекращения сопровождения платформы и прекращения поддержки браузерами … Читать далее Проект OpenSilver развивает открытую реализацию Silverlight

Разработчики Fedora Linux намерены перевести базу данных пакетов RPM (rpmdb) с BerkeleyDB на SQLite. В качестве основной причины замены называется применение в rpmdb устаревшей версии Berkeley DB 5.x, которая уже несколько лет не сопровождается. Переходу на более новые выпуски мешает изменение лицензии Berkeley DB 6 на AGPLv3, требования которой распространяются и на приложения, использующие BerkeleyDB в форме библиотеки (RPM поставляется под GPLv2, а AGPL несовместима с GPLv2). Кроме того, текущая реализация rpmdb на основе BerkeleyDB не обеспечивает необходимой надёжности, так как не использует транзакции и не способна выявлять несоответствия в БД. Необходимые для использования SQLite изменения будут предложены в выпуске … Читать далее Fedora планирует перевести RPM с BerkeleyDB на SQLite