Компания Mozilla объявила о начале тестирования в ночных сборках Firefox нового механизма определения отозванных сертификатов — CRLite. CRLite позволяет организовать эффективную проверку отзыва сертификатов по базе данных, размещаемой на системе пользователя. Развиваемая в Mozilla реализация CRLite опубликована под свободной лицензией MPL 2.0. Код для генерации БД и серверные компоненты написаны на Python и Go. Добавленные в Firefox клиентские части для чтения данных из БД подготовлены на языке Rust. Применяемая до сих пор поверка сертификатов с привлечением внешних служб на базе протокола OCSP (Online Certificate Status Protocol) требует наличия гарантированного сетевого доступа и приводит к возникновению ощутимой задержки на обработку запроса … Читать далее Mozilla внедряет CRLite для проверки проблемных TLS-сертификатов

Компания TIOBE опубликовала рейтинг популярности языков программирования за 2019 год. Лидерами остаются Java, Си, Python и C++. По сравнению с редакцией рейтинга, опубликованной год назад, поднялся рейтинг C# (с 7 на 5 место), Swift (с 15 на 9), Ruby (с 18 на 11), Go (с 16 на 14) и D (с 25 на 17). Снижение популярности наблюдается для JavaScript (с 6 на 7), Visual Basic (с 5 на 6), Object-C (с 10 на 13), Ассемблер (c 14 на 15), R (с 12 на 18) и Perl (с 13 на 19). В абсолютных показателях среди 20 лидеров рост уровня популярности наблюдается … Читать далее Рейтинг популярности языков программирования и СУБД в 2019 году

Опубликована финальная реализация алгоритма BLAKE3, предлагающего криптографическую хеш-функцию, рассчитанную на такие применения, как проверка целостности файлов, аутентификация сообщений и формирование данных для цифровых подписей. BLAKE3 не предназначена для хэширования паролей (для паролей нужно использовать yescrypt, bcrypt, scrypt или Argon2), так как нацелена на максимально быстрое вычисление хэшей с гарантией отсутствия коллизий, защитой от нахождения прообраза и не чувствительностью к размеру хэшируемых данных. Эталонная реализация BLAKE3 опубликована под двойной лицензией — общественное достояние (CC0) и Apache 2.0. Ключевым отличием новой хеш-функции является очень высокая производительность вычисления хэша при сохранении надёжности на уровне SHA-2. По умолчанию размер результирующего хэша в BLAKE3 составляет … Читать далее Доступна криптографическая хеш-функция BLAKE3, которая в 10 раз быстрее SHA-2

Компания Mozilla начала тестирование дополнения Firefox Voice с реализацией экспериментальной системы голосовой навигации, позволяющей использовать речевые команды для выполнения типовых действий в браузере. В настоящее время поддерживается обработка команд только на английском языке. Для активации требуется нажать на индикатор в адресной строке и выдать голосовую команду (в фоне микрофон отключён). От типовых систем голосового управления предложенное дополнение отличает тем, что оно сосредоточено не на замене мыши и клавиатуры при манипуляциях с интерфейсом, а позиционируется как вспомогательный инструмент для обработки вопросов на естественном языке, выполняющий роль голосового помощника. Например, пользователь может передавать такие команды, как «какая сейчас погода», «найди вкладку с … Читать далее Mozilla тестирует систему голосового управления Firefox Voice

Опубликована версия 0.3 библиотеки vosk для локального распознавания слитной речи, поддерживающая русский язык. Для платформы Android подготовлен APK-пакет, а для Linux можно использовать Python-библиотеку (пример использования), производительности которой достаточно для работы на платах Raspberry Pi. Языковая модель занимает всего 50Мб и работает точнее DeepSpeech (модель размером более 1Гб). Поддерживаются языки: русский, английский, немецкий, французский, китайский. Ожидается поддержка испанского, хинди, арабского и португальского. Предложенная библиотека работает на доработанном движке Kaldi. Разработчиками параллельно развивается серверное приложение для тренировки моделей, основанное на технологии аудио индексации, позволяющей в полуавтоматическом режиме проводить обучение нейронной сети на больших объёмах данных. Основная идея — это применение метода … Читать далее Библиотека для распознавания русской речи на Android и Linux без сети

Сформирован бета-выпуск дистрибутива OpenMandriva Lx 4.1. Проект развивается силами сообщества после того, как компания Mandriva S.A. передала управление проектом в руки некоммерческой организации «OpenMandriva Association». Для загрузки предлагается Live-сборка размером 2.7 Гб (x86_64). В новой версии компилятор Clang, используемый для сборки пакетов, обновлён до ветки LLVM 9.0. В дополнение к штатному ядру Linux, скомпилированному в GCC (пакет «kernel-release»), добавлен вариант ядра, собранный в Clang («kernel-release-clang»). Clang в OpenMandriva уже применяется в качестве компилятора по умолчанию, но до сих пор ядро приходилось собирать в GCC. Теперь для сборки всех компонентов можно обойтись только Clang. Задействованы новые версии ядра Linux 5.4, Glibc … Читать далее Бета-выпуск дистрибутива OpenMandriva Lx 4.1

Исследователи безопасности из компании Lyrebirds раскрыли сведения об уязвимости (CVE-2019-19494) в кабельных модемах на базе чипов Broadcom, позволяющей получить полный контроль за устройством. По предположению исследователей проблеме подвержены около 200 миллионов устройств в Европе, применяемых разными кабельными операторами. Для проверки своего модема подготовлен скрипт, оценивающий активность проблемного сервиса, а также рабочий прототип эксплоита для совершения атаки при открытии в браузере пользователя специально оформленной страницы. Проблема вызвана переполнением буфера в сервисе, предоставляющем доступ к данным спектрального анализатора, позволяющего операторам диагностировать проблемы и учитывать уровень помех при кабельном подключении. Сервис обрабатывает запросы чрез jsonrpc и принимает соединения только во внутренней сети. Эксплуатация … Читать далее Атака Cable Haunt, позволяющая получить контроль за кабельными модемами

Организаторы инициативы Zero Day Initiative (ZDI) анонсировали мероприятие Pwn2Own 2020, участникам которого предлагается продемонстрировать рабочие техники эксплуатации ранее неизвестных уязвимостей. Мероприятие состоится с 18 по 20 марта в рамках конференции CanSecWest в Ванкувере. Общий размер призового фонда в 2020 году составит более 4 млн долларов США, не считая новый автомобиль Tesla Model 3 в качестве приза. Как и в прошлом году наиболее существенные вознаграждения назначены за взлом информационных систем автомобиля Tesla Model 3. Наивысшая награда в 500 тысяч долларов назначена на создание многоуровневого эксплоита, позволяющего добиться выполнения своего кода сразу на уровне нескольких автомобильных подсистем (начальное проникновение через Wi-Fi, Bluetooth … Читать далее В Pwn2Own 2020 увеличены выплаты за взлом Tesla и возвращена номинация за взлом Ubuntu

Терри Кавана (Terry Cavanagh) отметил десятилетие игры VVVVVV публикацией её исходных текстов. VVVVVV представляет собой игру-платформер с графикой в стиле старых игр для Atari 2600, отличающуюся тем, что вместо прыжков игрок может менять направление гравитации (падать вверх или вниз). Доступны исходные тексты двух вариантов игры — для настольных систем на языке C++ и для мобильных платформ на Actionscript для Adobe AIR. Код размещён на GitHub под собственной ограниченной лицензией VVVVVV Source Code License v1.0, которая не позволяет изменять и распространять код в коммерческих целях. Игровые ресурсы, графика и музыка остались под проприетарной лицензией, допускающей бесплатное использование только при личном использовании. … Читать далее Опубликованы исходные тексты игры VVVVVV

Сформирован выпуск прослойки DXVK 1.5.1, предоставляющей реализацию DXGI (DirectX Graphics Infrastructure), Direct3D 9, 10 и 11, работающую через трансляцию вызовов в API Vulkan. Для использования DXVK требуется наличие драйверов с поддержкой API Vulkan, таких как AMD RADV 18.3, NVIDIA 415.22, Intel ANV 19.0 и AMDVLK. DXVK может применяться для запуска 3D-приложений и игр в Linux при помощи Wine, выступая в качестве более высокопроизводительной альтернативы встроенной в Wine реализации Direct3D 11, работающей поверх OpenGL. Основные изменения: Проведена общая оптимизация производительности Direct3D 9. Улучшена реализация смещения глубины в Direct3D 9, что позволило избавиться от проблем с отрисовкой, таких как отсутствие теней и … Читать далее Выпуск проекта DXVK 1.5.1 с реализацией Direct3D 9/10/11 поверх API Vulkan

В соответствии с новым ежемесячным циклом публикации обновлений представлено январское сводное обновление приложений (19.12.1), развиваемых проектом KDE. Всего в рамках январского обновления опубликованы выпуски более 120 программ, библиотек и плагинов. Информацию о наличии Live-сборок с новыми выпусками приложений можно получить на данной странице. Наиболее заметные новшества: На использование Qt5 и библиотек KDE Frameworks 5 переведено приложение для планирование личного времени KTimeTracker, которое не обновлялось уже около пяти лет и с 2013 года почти не развивалось. Кроме перехода на современные технологии, в новом выпуске KTimeTracker также предложен новый диалог редактирования времени выполнения задач и реализована возможность предпросмотра результирующих данных в диалоге … Читать далее Январское обновление приложений KDE

В ходе обсуждения тестов планировщика задач, один из участников дискуссии привёл пример того, что несмотря на заявления о необходимости сохранения совместимости при разработке ядра Linux, недавние изменения в ядре нарушили корректную работу модуля «ZFS on Linux«. Линус Торвальдс ответил, что принцип «не ломать пользователей» относится к сохранению внешних интерфейсов ядра, используемых приложениями в пространстве пользователя, а также самого ядра. Но он не охватывает отдельно развиваемые сторонние надстроки над ядром, не принятые в основной состав ядра, авторы которых на свой страх и риск сами должны отслеживать изменения в ядре. Что касается проекта «ZFS on Linux», то Линус не рекомендовал пользоваться модулем … Читать далее Линус Торвальдс пояснил, в чём проблемы реализации ZFS для ядра Linux

В очередном бета-выпуске клиента Steam исправлена ошибка, из-за которой Linux-сборка программы аварийно завершала своё выполнение при подготовке данных об используемом окружении пользователя, на основе которых подсчитывается статистика Steam Hardware & Software Survey. Предполагается, что устранённая проблема была одной из причин низкой доли Linux в отчётах Steam, так как попытка отправки данных от Linux-пользователей завершались крахом приложения. В декабрьском отчёте Steam доля Linux составляла всего 0.67%. Источник: http://www.opennet.ru/opennews/art.shtml?num=52163 Читать далее Valve устранила в Steam ошибку, приводившую к неверному подсчёту доли пользователей Linux

В утилите e2fsck, поставляемой в составе пакета e2fsprogs, выявлена уязвимость (CVE-2019-5188), позволяющая добиться выполнения кода злоумышленника при выполнении проверки файловой системы, содержащей специальным образом оформленные каталоги. Наличие уязвимости подтверждено в выпусках с 1.43.3 по 1.45.4. Уязвимость устранена в обновлении e2fsck 1.45.5. В дистрибутивах проблема пока остаётся неисправленной (Debian, Arch Linux, SUSE/openSUSE, Ubuntu, RHEL). Уязвимость вызвана ошибкой в функция mutate_name() из файла rehash.c, применяемой при перестроении связанных с каталогом хэш-таблиц, обеспечивающих сопоставление с каталогом всех находящихся в нём файлов. Повреждение связанной с каталогом структуры hash_entry может привести к записи данных атакующего в область вне выделенного буфера. В случае выявления в хэш-таблице … Читать далее Уязвимость в e2fsck, проявляющаяся при обработке специально оформленных каталогов

Доступен релиз дистрибутива OpenWrt 19.07, ориентированного на применение в различных сетевых устройствах, таких как маршрутизаторы и точки доступа. OpenWrt поддерживает множество различных платформ и архитектур и обладает системой сборки, позволяющей просто и удобно производить кросс-компиляцию, включая в состав сборки различные компоненты, что позволяет легко сформировать адаптированную под конкретные задачи готовую прошивку или образ диска с желаемым набором предустановленных пакетов. Сборки подготовлены для 37 целевых платформ. Среди основных изменений: Для всех поддерживаемых архитектур предложена одна типовая версия ядра Linux 4.14.162 (в ветке 18.06 для 13 платформ предлагалось ядро 4.9, а для остальных — 4.14). Представлена начальная поддержка новой платформы ath79, идущей … Читать далее Релиз OpenWRT 19.07

После четырёх лет разработки опубликован выпуск пакета VPaint 1.7, сочетающего в себе редактор векторной графики и систему для создания 2D-анимации. Программа позиционируется как исследовательский проект с экспериментальной реализацией математической концепции VGC (Vector Graphics Complex), позволяющей создавать анимацию и иллюстрации, не привязанные к пиксельному разрешению. Наработки проекта написаны на языке С++ (с использованием библиотек Qt и GLU) и распространяются под лицензией Apache 2.0. Сборки подготовлены для Linux (AppImage), Windows и macOS. Суть метода VGC в автоматизации отслеживания соединений между линиями в векторном рисунке, что делает процесс редактирования более интуитивно понятным за счёт упрощения обработки фигур, имеющих общие границы. Обычно кривые, образующие … Читать далее Выпуск экспериментального векторного графического редактора VPaint 1.7

Компания Google раскрыла планы реализации в Chrome средств для блокировки назойливых уведомлений, похожие на те, что были несколько дней назад предложены пользователям в Firefox 72. Google согласился, что большая часть уведомлений, связанных с подтверждением полномочий, выводятся сайтами в назойливом виде. Вместо вывода подобных уведомлений, когда в них возникает реальная необходимость, сайты обычно запрашивают подтверждение полномочий после первого открытия сайта, не привязываясь к контексту выполняемых операций. Подобная активность, например, спам запросами на получение push-уведомлений, прерывает работу пользователя и отвлекает внимание на действия в диалогах подтверждения. Начиная с выпуска Chrome 80, намеченного на 4 февраля, появится возможность выводить информацию о запросах полномочий … Читать далее Chrome, следом за Firefox, добавит защиту от назойливых уведомлений

В связи с прекращением поддержки операционной системы Windows 7, обновления для которой перестанут публиковаться 14 января, проект KDE предложил мигрировать пользователям данной ОС на рабочий стол KDE Plasma. Для воссоздания окружения, привычного пользователям Windows 7, реализована тема оформления Seven Black с набором виджетов Default Apps Menu, I-O Task Manager, Stock System Tray, Feren Calendar и Win7 Show Desktop. Данная тема уже используется в дистрибутиве Feren OS, основанном на пакетной базе Ubuntu. Кроме рекомендации перехода на Linux проект KDE открыл обсуждение способов по стимулированию миграции пользователей с Windows 7 на KDE Plasma, а также выразил готовность реализовать полезные идеи и предоставить … Читать далее Инициатива по переходу пользователей Windows 7 на KDE Plasma

Компания Huawei объявила о завершении формировании инфраструктуры для разработки нового дистрибутива Linux — openEuler, который будет развиваться при участии сообщества. На сайте проекта уже опубликован первый релиз openEuler 1.0, iso-образ (3.2 Гб) которого пока доступен только для систем на базе архитектуры Aarch64 (ARM64). Репозиторий насчитывает около 1000 пакетов, собранных для архитектур ARM64 и x86_64. Исходные тексты связанных с дистрибутивом компонентов размещены в сервисе Gitee. Исходные тексты пакетов также доступны через Gitee. openEuler базируется на наработках коммерческого дистрибутива EulerOS, который является ответвлением от пакетной базы CentOS и главным образом оптимизирован для использования на серверах с процессорами ARM64. Применяемые в дистрибутиве EulerOS … Читать далее Huawei опубликовал новый Linux-дистрибутив openEuler

Опубликованы экстренные корректирующие выпуски Firefox 72.0.1 и 68.4.1, в которых устранена критическая уязвимость (CVE-2019-17026), позволяющая организовать выполнение кода при открытии определённым образом оформленных страниц. Опасность усугубляется тем, что ещё до внесения исправления зафиксированы факты совершения атак с использованием данной уязвимости и в руках злоумышленников находится рабочий эксплоит. Всем пользователям Firefox рекомендуется срочно обновить браузер, а пользователям Tor Browser необходимо дождаться выхода обновления 9.0.4, которое будет опубликовано в течение нескольких часов. Следы совершении атак с использование 0-day уязвимости были обнаружены китайским производителям антивирусного ПО Qihoo 360. Проблема вызвана некорректным определением типа элементов массива при выполнении операций StoreElementHole и FallibleStoreElement в объектном … Читать далее Обновление Firefox 72.0.1 и 68.4.1 с устранением критической 0-day уязвимости

Комментируя намерение разработчиков Fedora вклюить по умолчанию фоновый процесс earlyoom для раннего реагирования на нехватку памяти в системе, Леннарт Поттеринг (Lennart Poettering) рассказал о планих по интеграции в systemd другого решения — oomd. Обработчик oomd развивает компания Facebook, сотрудники которой также разрабатывают подсистему ядра PSI (Pressure Stall Information), при помощи которой обработчик нехватки памяти в пространстве пользователя может более точно оценить уровень загруженности системы и характер замедления работы. Оomd находится на финальной стадии создания универсального продукта, пригодного для любых рабочих нагрузок без проведения дополнительного тюнинга. После того как в ядро Linux будут добавлены последние недостающие компоненты интерфейса PSI («iocost»), компания … Читать далее В systemd ожидается включение обработчика нехватки памяти oomd, разработанного в Facebook