В каталоге Google Play выявлено жульническое приложение Updates for Samsung, которое успешно продаёт доступ к обновлениям Android для смартфонов Samsung, которые изначально распространяются компаний Samsung бесплатно. Несмотря на то, что приложение размещено никак не связанной с Samsung и никому не известной компанией Updato, оно уже набрало более 10 млн установок, что лишний раз подтверждает предположение, что огромный пласт пользователей готовы установить на свой смартфон всё что угодно, не задумываясь о возможных вредоносных последствиях и не проверяя то, что они устанавливают. Приложение «Updates for Samsung» включает браузерный компонент WebView, который транслирует содержимое сайта updato.com, на котором предлагаются ссылки на имеющиеся обновления … Читать далее 10 млн пользователей установили жульническое приложение для продажи обновлений прошивок Samsung

Для web-браузера Chrome развивается новый режим блокирования рекламы, потребляющей слишком много системных и сетевых ресурсов. Предлагается автоматически выгружать iframe-блоки с рекламой, если выполняемый в них код потребляет более 0.1% имеющейся пропускной способности и 0.1% времени CPU (общего и в минутном разрезе). В абсолютных значениях лимит задан в 4 Мб трафика и 60 секунд процессорного времени. При превышении указанных ресуов планируется заменять iframe на страницу с текстом ошибки. В случае одобрения предложенный режим сможет дополнить штатный механизм блокировки неприемлимой рекламы, активация которого намечена на 9 июля. В соответствии с ранее озвученным планом на следующей неделе в Chrome начнёт действовать блокировка рекламных … Читать далее Для Chrome разрабатывают режим блокировки ресурсоёмкой рекламы

Компания Mozilla в рамках инициативы по созданию платных сервисов начала тестирование нового продукта для Firefox, позволяющего просматривать сайты без рекламы и продвигающего альтернативный способ финансирования создания контента. Стоимость использования сервиса составляет $4.99 в месяц. Основная идея заключается в том, что пользователям сервиса не показывается реклама на сайтах, а финансирование создания контента осуществляется благодаря платной подписке. Полученные средства распределяются между участвующими в инициативе сайтами партнёров, в зависимости от их востребованности пользователями. Дополнительно подписчикам также предоставляются аудиоверсии статей, синхронизируемые между устройствами закладки, система рекомендаций и приложение для поиска интересного контента. Например, пользователь может начать читать статью дома на ПК, после чего продолжить … Читать далее Mozilla тестирует платный прокси-серверс для просмотра сайтов без рекламы

Опубликован релиз языка системного программирования Rust 1.36, основанного проектом Mozilla. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime. Автоматическое управление памятью в Rust избавляет разработчика от манипулирования указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo, позволяющий получить нужные для программы библиотеки в один клик. Для … Читать далее Выпуск языка программирования Rust 1.36

Подготовлено обновление дистрибутива OpenWrt 18.06.4, ориентированного на применение в различных сетевых устройствах, таких как маршрутизаторы и точки доступа. OpenWrt поддерживает множество различных платформ и архитектур и обладает системой сборки, позволяющей просто и удобно производить кросс-компиляцию, включая в состав сборки различные компоненты, что позволяет легко сформировать адаптированную под конкретные задачи готовую прошивку или образ диска с желаемым набором предустановленных пакетов. Сборки сформированы для 34 целевых платформ. Выпуск OpenWrt 18.06.3 был пропущен в пользу 18.06.4 из-за мелкого обновления для ядра Linux 4.14, исправляющего проблемы с подключением TCP, которые были добавлены в первой итерации исправлений уязвимости Linux SACK. Основные изменения в OpenWrt 18.06.04: … Читать далее Выпуск OpenWrt 18.06.04

В рамках проекта Snuffleupagus развивается модуль для подключения к интерпретатору PHP7, предназначенный для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и распространяется под лицензией LGPL 3.0. Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля … Читать далее Проект Snuffleupagus развивает PHP-модуль для блокирования уязвимостей

Компания Mozilla представила сервис Track THIS, позволяющий наглядно оценить методы работы рекламных сетей, отслеживающих предпочтения посетителей. Сервис позволяет через автоматизированное открытие около 100 вкладок симулировать четыре типовых профиля поведения в сети, после чего рекламные сети на несколько дней начинают предлагать контент, соответствующий выбранному профилю. Например, если выбрать профиль очень богатого человека, в рекламе начнут фигурировать дорогие отели, люксовые автомобили, премиальные бренды и эксклюзивные клубы. При выборе профиля поведения хипстера в выдаче будут преобладать новейшие тенденции, эксклюзивные предложения, удобная одежда и последние музыкальные новинки. Для профиля параноика будут показываться ссылки на различные теории заговоров, сведения о создании бункеров и информацию о … Читать далее Компания Mozilla запустила сайт, демонстрирующий методы отслеживания пользователей

В открытой платформе для организации электронной коммерции Magento, которая занимает около 20% рынка систем для создания интернет-магазинов, выявлены уязвимости, комбинация которых позволяет совершить атаку для выполнения своего кода на сервере, получения полного контроля над интернет-магазином и организации перенаправления платежей. Уязвимости устранены в выпусках Magento 2.3.2, 2.2.9 и 2.1.18, в которых в сумме устранено 75 проблем, связанных с безопасностью. Одна из проблем позволяет неаутентифицированному пользователю добиться размещения JavaScript-кода (XSS), который может быть выполнен при просмотре журнала отменённых покупок в интерфейсе администратора. Суть уязвимости в возможности обойти операцию чистки текста при помощи функции escapeHtmlWithLinks() при обработке примечания в форме отмены на экране … Читать далее В платформе электронной коммерции Magento устранено 75 уязвимостей

Компания Valve предложила в списке рассылки разработчиков Mesa новый компилятор шейдеров ACO для Vulkan-драйвера RADV, позиционируемый в качестве альтернативы компилятору шейдеров из AMDGPU, используемому в OpenGL- и Vulkan-драйверах RadeonSI и RADV для графических чипов AMD. После завершения тестирования и доработки функциональности, ACO планируется предложить для включения в основной состав Mesa. Предложенный Valve код нацелен на обеспечение генерации кода, насколько это возможно оптимального для шейдеров игровых приложений, а также на достижение очень высокой скорости компиляции. Имеющийся в Mesa компилятор шейдеров использует компоненты LLVM, которые не позволяют добиться желаемой скорости компиляции и не позволяют полностью контролировать управляющий поток, что в прошлом уже … Читать далее Компания Valve открыла новый компилятор шейдеров для GPU AMD

Компания Amazon представила первый выпуск продукта Open Distro for Elasticsearch, в рамках которого подготовлена полностью открытая редакция платформы поиска, анализа и хранения данных Elasticsearch. Опубликованная редакция пригодна для применения на предприятиях и включает расширенные возможности, доступные только в коммерческой версии оригинального Elasticsearch. Все компоненты проекта распространяются под лицензией Apache 2.0. Готовые сборки подготовлены в форматах DEB и RPM, а также в виде образов Docker и набора отдельных плагинов. Выпуск примечателен синхронизацией компонентов платформы с ветками Elasticsearch 7.0 и Kibana UI 7.0, и обеспечением полной совместимости с ними. В том числе доступны такие возможности, как подержка SQL, генерация уведомлений, механизмы диагностики … Читать далее Amazon опубликовал Open Distro for Elasticsearch 1.0.0

Аксель Ритчен (Axel Rietschin), инженер компании Microsoft, занимающийся разработкой ядра Windows, поставил под сомнение возможность разработки операционной системы ReactOS без заимствования кода из Windows. По его мнению разработчики ReactOS воспользовались кодом из ядра Windows Research, исходные тексты которого лицензировались для университетов. Утечки данного кода публиковались в различных местах, в том числе на GitHub. Ритчен уверен, что физически невозможно с чистого листа написать ядро ReactOS в том виде, как написано оно сейчас, пользуясь только имеющейся публичной документацией. В частности, имена внутренних структур и функций в ядре ReactOS совпадают с аналогичными именами в ядре Windows Research, в то время как эти имена … Читать далее Один из разработчиков Microsoft считает, что ReactOS не мог обойтись без заимствования кода Windows

В наборе библиотек SDL (Simple Direct Layer), предоставляющем средства для аппаратно ускоренного вывода 2D- и 3D-графики, обработка ввода, воспроизведение звука, вывод 3D через OpenGL/OpenGL ES и множество иных сопутствующих операций, выявлено 6 уязвимостей. В том числе в библиотеке SDL2_image обнаружены две проблемы, позволяющие организовать удалённое выполнение кода в системе. Атака может быть совершена на приложения, использующие SDL для загрузки изображений. Обе уязвимости (CVE-2019-5051, СVE-2019-5051) присутствует в функции IMG_LoadPCX_RW и вызваны отсутствием необходимого обработчика ошибок и целочисленным переполнением, которые можно эксплуатировать через передачу специально оформленного файла в формате PCX. Проблемы уже устранены в выпуске SDL_image 2.0.5. Информация об остальных 4 уязвимостях … Читать далее Уязвимость в библиотеке SDL, приводящая к выполнению кода при обработке изображений

Во FreeBSD устранены три уязвимости, которые позволяют повысить свои привилегии в системе или получить доступ к данным ядра. Проблемы исправлены в обновлениях 11.2-RELEASE-p11 и 12.0-RELEASE-p7. CVE-2019-5602 — в драйвере «cd», применяемом для доступа к CD-ROM, выявлена уязвимость, которая позволяет через отправку определённых ioctls добиться перезаписи областей памяти ядра и организовать выполнение своего кода с правами ядра. Для доступа к проблемным ioctls пользователь должен входить в группу operator. Для успешного совершения атаки необходимо, чтобы в накопителе находился определённый диск. Для зашиты можно ограничить доступ к устройствам CD через удаление соответствующих правил в файлах devfs.conf и devfs.rules; CVE-2019-5600 — в реализации API … Читать далее Уязвимости во FreeBSD, затрагивающие UFS, iconv и драйвер cd

Разработчики дистрибутива Linux Mint сообщили о работе над новой моделью мини-компьютера MintBox 3, поставляемого под бредном проекта с предустановленным дистрибутивом Linux Mint. Устройство построено на базе платформы Airtop 3 компании Compulab. Устройство снабжено полностью бесшумной пассивной системой охлаждения, которая допускает эксплуатацию в диапазоне температур от -40°C до 70°C. Размер устройства 10 x 30 x 25.5 см. Планируется выпустить две редакции устройства, отличающиеся процессором, размером памяти и GPU: CPU Core i5 (6 ядер), 16 GB ОЗУ, SSD-накопитель 256 GB EVO 970, Wi-Fi, передняя панель FM-AT3 FACE (USB type C, 2x USB type A, micro-SD и mini-PCIe). Стоимость модели $1543. CPU Core … Читать далее Проект Linux Mint анонсировал мини-компьютер MintBox 3

Представлен релиз специализированной командной оболочки GNU Rush 2.0 (Restricted User Shell), рассчитанной на использование в системах с урезанным удалённым доступом, в которых требуется ограничение действий пользователя. Rush даёт возможность определить какие функции командной строки пользователь может использовать и какие ресурсы ему при этом предоставляются (размер памяти, процессорное время и т.п.). Например, Rush можно использовать для удалённого запуска программ в chroot-окружении, что помогает увеличить безопасность при предоставлении доступа через такие программы, как sftp-server или scp, которые по умолчанию имеют доступ ко всей файловой системе. Другой полезной возможностью Rush является поддержка отправки уведомления другому процессу о завершении пользовательского сеанса через сетевой или … Читать далее Выпуск командной оболочки GNU Rush 2.0

Разработчики проекта LineageOS, пришедшего на смену CyanogenMod после отказа от проекта компании Cyanogen Inc, опубликовали отчёт о развитии ветку LineageOS 16, основанной на платформе Android 9. С марта число предоставляемых проектом сборок увеличилось до 36 устройств. Из внесённые за последнее время изменений отмечается: Реализация ночного режима, при котором в ночное время на экране используется более тёплая цветовая гамма для снижения напряжения глаз, для новых моделей устройств (на базе Snapgragon 820 и новее) переведена на использование штатных возможностей Android. Ранее предлагавший для данных целей режим LiveDisplay оставлен в качестве опции; Панель управления громкостью теперь может быть перемещена в левую часть экрана … Читать далее Отчёт о развитии мобильной платформы LineageOS 16

Представлен релиз дисплейного сервера Mir 1.3, разработка которого продолжается компанией Canonical, несмотря на отказ от развития оболочки Unity и редакции Ubuntu для смартфонов. Mir остаётся востребован в проектах Canonical и теперь позиционируется как решение для встраиваемых устройств и интернета вещей (IoT). Mir может использоваться в качестве композитного сервера для Wayland, что позволяет запускать в окружениях на базе Mir любые приложения, использующие Wayland (например, собранные с GTK3/4, Qt5 или SDL2). Пакеты для установки подготовлены для Ubuntu 16.04/18.04/18.10/19.04 (PPA) и Fedora 28/29/30. Код проекта распространяется под лицензией GPLv2. Основные изменения в новом выпуске связаны с улучшением поддержки дополнительных расширенных протоколов Wayland в … Читать далее Выпуск дисплейного сервера Mir 1.3

Представлен релиз web-браузера Pale Moon 28.6, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Код проекта распространяется под лицензией MPLv2 (Mozilla Public License). Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox в браузере … Читать далее Выпуск браузера Pale Moon 28.6

После около года разработки доступен релиз дистрибутива Whonix 15, нацеленного на предоставление гарантированной анонимности, безопасности и защиты частной информации. Загрузочные образы Whonix сформированы для VirtualBox, KVM и для использования в операционной системе Qubes. Образ гостевой системы CLI занимает 1.1 GB, а c рабочим столом Xfce — 1.3 GB. Наработки проекта распространяются под лицензией GPLv3. Дистрибутив основан на Debian GNU/Linux и использует Tor для обеспечения анонимности. Особенностью Whonix является разделение дистрибутива на два отдельно устанавливаемых компонента — Whonix-Gateway с реализацией сетевого шлюза для анонимных коммуникаций и Whonix-Workstation с рабочим столом. Выход в сеть из окружения Whonix-Workstation производится только через шлюз Whonix-Gateway, … Читать далее Выпуск Whonix 15, дистрибутива для обеспечения анонимных коммуникаций

Доступен для тестирования второй предварительный выпуск пользовательского окружения Xfce 4.14, который ознаменовал переход проекта на стадию полной заморозки кодовой базы. В зависимости от результатов тестирования 28 июля может быть сформирован третий тестовый выпуск. Релиз ожидается 11 августа. Для тестирования Xfce 4.14pre2 подготовлены образ контейнера в формате Docker и PPA-репозиторий для Ubuntu. Обзор новшеств Xfce 4.14 можно посмотреть в прошлом анонсе. По сравнению с первым тестовым выпуском в основном отмечается устранением ошибок. Среди не связанных с исправлением ошибок изменений: Улучшение GLX-бэкенда в оконном менеджере xfwm4; Улучшение поддержки HiDPI; Добавление на панель нового индикатора сгруппированных окон и обновление общей раскладки элементов на … Читать далее Второй предварительный выпуск пользовательского окружения Xfce 4.14

Сервис GitHub сообщил об изменении организации входа пользователей, у которых в настройках не включена двухфакторная аутентификация. Для таких пользователей вводится дополнительная верификация, в соответствии с которой система запоминает устройства, с которых осуществляется вход и допускает работу только с них. Если устройство ранее не было верифицировано, на email пользователя отправляется код подтверждения входа, который нужно ввести при аутентификации. Если вход производится с уже ранее верифицированного устройства достаточно заполнить свои учётные данные. Источник: http://www.opennet.ru/opennews/art.shtml?num=51008 Читать далее GitHub вводит верификацию устройств, при неактивной двухфакторной аутентификации