После года разработки компания Apple опубликовала релиз языка программирования Swift 5. Официальные сборки подготовлены для Linux (Ubuntu 14.04, 16.04, 18.04) и macOS (Xcode). Исходные тексты распространяются под лицензией Apache 2.0. В новой версии стабилизирован ABI для платформ macOS, iOS, tvOS и watchOS. Обеспечена возможность поставки новых версий библиотек без перекомпиляции приложений. В стандартной библиотеке внутреннее представление строк переведено на кодировку UTF-8. Улучшена поддержка raw-текста (со спецсимволами и переводами строк) в строковых литералах. Добавлены новый тип для обработчиков ошибок Result и векторный тип SIMD. Расширены возможности по интерполяции строк с типом String (выделение текста из произвольных данных). Увеличена производительность типов Dictionary … Читать далее Компания Apple представила язык программирования Swift 5

Компания Google представила релиз операционной системы Chrome OS 73, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 73. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Сборка Chrome OS 73 доступна для большинства актуальных моделей Chromebook. Энтузиастами сформированы неофициальные сборки для обычных компьютеров с процессорами x86, x86_64 и ARM. Исходные тексты распространяются под свободной лицензией Apache 2.0. Основные изменения в Chrome OS 73: Обновлено приложение для работы с камерой, в котором появилась функция … Читать далее Релиз Chrome OS 73

Компания Jolla, основанная бывшими сотрудниками Nokia с целью разработки новых смартфонов, построенных на базе Linux-платформы MeeGo, опубликовала релиз операционной системы Sailfish 3.0.2. Сборки подготовлены для устройств Jolla 1, Jolla C, Jolla Tablet, Sony Xperia X, Gemini, и уже доступны в форме OTA-обновления. Ростелеком использует Sailfish в качестве основы для отечественной мобильной операционной системы, предлагаемой под брендом «Аврора» (компания Jolla предоставила лицензию на создание локализованного варианта ОС Sailfish). Sailfish использует графический стек на базе Wayland и библиотеки Qt5, системное окружение построено на основе Mer (форк MeeGo) и пакетов Mer-дистрибутива Nemo. Пользовательская оболочка, базовые мобильные приложения, QML-компоненты построения графического интерфейса Silica, прослойка … Читать далее Выпуск мобильной ОС Sailfish 3.0.2

Представлен релиз легковесного Linux-дистрибутива Puppy 8.0 (BionicPup), ориентированного на работу на устаревшем оборудовании. Загрузочный iso-образ занимает 354 Мб (x86 и x86_64 c поддержкой BIOS и UEFI). Дистрибутив собран с использованием пакетной базы Ubuntu 18.04 и собственного сборочного инструментария Woof-CE, позволяющего использовать в качестве основы пакетные базы сторонних дистрибутивов. Использование бинарных пакетов из Ubuntu позволяет значительно сократить время подготовки и тестирования релиза, и одновременно обеспечить пакетную совместимость с репозиториями Ubuntu, при сохранении совместимости с классическими пакетами Puppy в формате PET. Для установки дополнительных приложений и обновления системы предлагается интерфейс Quickpet. Графическое окружение пользователя базируется на оконном менеджере JWM, файловом менеджере ROX, … Читать далее Выпуск Puppy Linux 8.0, дистрибутива для устаревших компьютеров

Опубликован релиз проекта PyPy 7.1, в рамках которого развивается реализации языка Python, написанной на языке Python (используется статически типизированное подмножество RPython, Restricted Python). Выпуск подготовлен одновременно для веток PyPy2.7, PyPy3.5 и PyPy3.6 (beta-версия), обеспечивающих поддержку синтаксиса Python 2.7, Python 3.5 и Python 3.6. Выпуск доступен для Linux (x86, x86_64, PPC64, s390x, ARMv6 или ARMv7 с VFPv3), macOS (x86_64), OpenBSD, FreeBSD и Windows (x86). Особенностью PyPy является использование JIT-компилятора, на лету транслирующего некоторые элементы в машинный код, что позволяет обеспечить высокий уровень производительности — при выполнении некоторых операций PyPy в несколько раз обгоняет классическую реализацию Python на языке Си (CPython). Ценой … Читать далее Релиз PyPy 7.1, реализации Python, написанной на языке Python

После года разработки подготовлен выпуск операционной системы Redox 0.5, разработанной с использованием языка Rust и концепции микроядра. Наработки проекта распространяются под свободной лицензией MIT. Для тестирования в VirtualBox или QEMU предложены готовые загрузочные образы. Пользовательское окружение в Redox построено на базе графической оболочки Orbital, работающей поверх Wayland. В качестве web-браузера применяется Netsurf. Операционная система использует концепцию микроядра, при котором на уровне ядра обеспечивается только взаимодействие между процессами и управление ресурсами, а вся остальная функциональность вынесена в библиотеки, которые могут использоваться как ядром, так и пользовательскими приложениями. Все драйверы выполняются в пространстве пользователя в изолированных sandbox-окружениях. Для совместимости с существующими приложениями … Читать далее Выпуск операционной системы Redox OS 0.5, написанной на языке Rust

Опубликован отчёт о развитии проекта FreeBSD с октября по декабрь 2018 года. Основные достижения: Общие и системные вопросы Продолжено развитие инфраструктуры непрерывной интеграции, в которой проводится регулярное автоматизированное тестирование изменений и пересборка содержимого Subversion-репозитория проекта в Travis CI и Jenkins. За отчётный период была проведена работа по расширению окружения для выполнения тестов, расширению покрытия тестами кодовой базы и налаживанию сотрудничества по совместному тестированию с внешними проектами. Из планов отмечается добавление в CI сборки drm-портов в окружении ветки CURRENT, реализация автоматических тестов на невиртуализированном оборудовании (bare metal) и добавление тестов для отдельных веток, таких как clang800-import; FreeBSD Core Team одобрил план … Читать далее Отчёт о развитии FreeBSD за четвёртый квартал 2018 года

Состоялся релиз консольного текстового редактора GNU nano 4.0, предлагаемого в качестве редактора по умолчанию во многих пользовательских дистрибутивах, разработчики которых считают vim слишком сложным для освоения. В новом выпуске: По умолчанию включён режим плавной прокрутки (по одной строке). Для возвращения прокрутки по половине страницы за раз добавлена опция «—jumpyscrolling» (-j); Для построчной прокрутки добавлены горячие клавиши Alt+Up и Alt+Down; Убрана пустая строка под заголовком, которая теперь относится к области редактирования. Для возвращения пустой строки предложена опция «—emptyline» (-e); Убраны автоматический перенос очень длинных строк и добавление символа новой строки в конец буфера. Для возвращения старого поведения добавлены опции «—breaklonglines» (-b) … Читать далее Выпуск текстового редактора GNU nano 4.0

Компания Microsoft открыла исходные тексты проекта Pyright, в рамках которого развивается система для применения статической типизации в приложениях на языке Python. Для разработчиков предлагается утилита командной строки для проверки типов и плагин для интегрированных сред разработки, поддерживающих протокол LSP (Language Server Protocol), таких как Visual Studio Code, Nuclide и Atom. Код написан на языке Typescript (диалект JavaScript со статической типизацией), использует Node.js и открыт под лицензией MIT. Информация о типах может определяться в коде через добавление дополнительных аннотаций к переменным (PEP 526, например «# type: List[int]»), TypeVar-подсказок в стиле mypy (PEP 484, например «def greeting(name: str) — str:») или применения … Читать далее Microsoft опубликовал Pyright, систему проверки типов для языка Python

Доступны корректирующие выпуски Firefox 66.0.1 и 60.6.1, а также Tor Browser 8.0.8, в которых устранены две критические уязвимости, позволяющие выполнить код при обработке специально оформленных web-страниц. Рабочие эксплоиты для данных уязвимостей были продемонстрированы вчера на соревновании Pwn2Own 2019 командой Fluoroacetate и исследователем Niklas Baumstark. За демонстрацию эксплоитов было выплачено 90 тысяч долларов. Обе уязвимости выявлены в коде JIT-компилятора. Первая проблема (CVE-2019-9810) вызвана некорректной проверкой границ из-за передачи в JIT неверной информации об алиасах при выполнении метода Array.prototype.slice, что можно использовать для инициирования переполнения буфера. Вторая уязвимость (CVE-2019-9813) связана с неверным выводом типов при обработке изменения объектов при помощи конструкции «__proto__», … Читать далее Обновление Firefox 66.0.1 и Tor Browser 8.0.8 с устранением уязвимостей

Представлен проект Endlessh, в рамках которого подготовлен простой фиктивный SSH-сервер, который пытается максимально долго удерживать установленные соединения открытыми на начальной стадии подключения к SSH-серверу. Endlessh может использоваться для затруднения работы различных вредоносных систем, постоянно перебирающих пароли и сканирующих хосты на наличие определённых сетевых сервисов. Суть борьбы с данными системами в удержании одного соединения, не позволяя ему завершиться по таймайту, и, соответственно, временно блокируя проведения перебора для текущего хоста. Приложение обрабатывает лишь начальную стадию обмена данными, на этапе до аутентификации, поэтому очень просто в реализации и потребляет минимальные ресурсы в процессе работы. Endlessh можно запустить на 22 сетевом порту, а реальный … Читать далее Endlessh — фиктивный SSH

В Fizz, развиваемой компанией Facebook открытой реализации протокола TLS 1.3 на языке C++14, выявлена уязвимость (CVE-2019-3560), позволяющая совершить DoS-атаку через введение обработчика в состояние бесконечного зацикливания из-за целочисленного переполнения. Воспользовавшись уязвимостью атакущий может исчерпать доступные ресурсы, что приведёт к недоступности сервера для пользователей. Так как Fizz активно применяется во внутренней и внешней инфраструктуре Facebook, указанная уязвимость могла привести к блокированию работы сервисов Facebook. Facebook был уведомлен о проблеме 20 февраля и устранил уязвимость до раскрытия сведений о её наличии. Читать далее Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebook

Подведены итоги второго дня соревнования Pwn2Own 2019, ежегодно проводимого в рамках конференции CanSecWest в Ванкувере. На соревновании были продемонстрированы рабочие техники эксплуатации ранее неизвестных уязвимостей в Firefox, Edge, Safari, VMware Workstation и VirtualBox. Суммарный размер выплат составил 510 тысяч долларов (общий призовой фонд составлял более 2 млн долларов). Успешно продемонстрированные следующие взломы: $35 тысяч — взлом VirtualBox: целочисленное переполнение + race condition, позволившие из окружения гостевой системы выполнить код на стороне хост-системы; $35 тысяч — взлом VirtualBox: целочисленное переполнение, позволившее получить доступ к базовому системному окружению из гостевой системы; $40 тысяч — взлом Firefox: ошибка в JIT + использование логической … Читать далее На соревновании Pwn2Own 2019 продемонстрированы взломы Firefox, Edge, Safari, VMware и VirtualBox

Представлен выпуск свободной системы нелинейного видеомонтажа OpenShot 2.4.4. Код проекта поставляется под лицензией GPLv3. Интерфейс написан на Python и PyQt5. Ядро обработки видео (libopenshot) реализовано на C++ и использует возможности пакета FFmpeg. Интерактивная шкала времени написана с использованием HTML5, JavaScript и AngularJS. Для пользователей Ubuntu пакеты с последним выпуском OpenShot доступны через специально подготовленный PPA-репозиторий, для остальных дистрибутивов сформирована самодостаточная сборка в формате AppImage. Имеются сборки для Windows и macOS. Редактор отличается удобным и интуитивно понятным пользовательским интерфейсом, позволяющим редактировать видео даже начинающим пользователям. Программа поддерживает несколько десятков визуальных эффектов, даёт возможность работы с многотрековыми монтажными шкалами с возможностью перемещения … Читать далее Выпуск свободного видеоредактора OpenShot 2.4.4

Группа исследователей из Университета штата Северная Каролина опубликовала результаты (PDF) анализа случайного попадания конфиденциальных данных в публично доступные репозитории на GitHub. Например, из-за недосмотра в репозитории временами попадают оставленные в рабочем каталоге или вшитые в код ключи доступа к облачным сервисам, пароли к СУБД, ключи к VPN и сертификаты для цифровых подписей. В ходе проделанной работы был исследован как статических срез, включающий 13% репозиториев на GitHub (около 4 млн репозиториев), так и проанализирована динамика появления новых утечек, для чего на протяжении 6 месяцев отслеживались все новые коммиты на GitHub. Для анализа использовались срезы содержимого GitHub, предоставляемые через хранилище BigQuery, а … Читать далее Анализ утечек конфиденциальных данных через репозитории на GitHub

Фонд Свободного ПО представил семь новых устройств компании ThinkPenguin, получивших сертификат «Respect Your Freedom«, который подтверждает соответствие устройства требованиям обеспечения приватности и свободы пользователей и даёт право использовать специальный логотип в связанных с продуктом материалах, подчёркивающий предоставление пользователю полного контроля над устройством. Сертификат получили: Беспроводные адаптеры с интерфейсами USB и PCIe — Penguin Wireless G USB Adapter (PE-G54USB2) и Penguin Wireless N Dual-Band PCIe (TPE-N300PCIED2); Ethernet-адаптеры PCIe Gigabit Ethernet (TPE-1000MPCIE, двухпортовый), PCI Gigabit Ethernet (TPE-1000MPCI), Penguin 10/100 USB Ethernet v1 (TPE-100NET1) и Penguin 10/100 USB v2 (TPE-100NET2); Микрофон Penguin TPE-USBMIC с интерфейсом USB. Это первый микрофон, сертифицированный Фондом СПО. Для … Читать далее Фонд свободного ПО сертифицировал микрофон, 2 Wi-Fi и 4 Ethernet адаптера

Продолжают находить критические уязвимости в Ghostscript, наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF. Новые проблемы CVE-2019-3835 и CVE-2019-3838 позволяют обойти режим изоляции «-dSAFER» и организовать выполнение произвольного кода в системе при обработке специально оформленных документов. В дистрибутивах уязвимости устранены в RHEL, Fedora и Ubuntu и остаются неисправленными в Debian, Arch, SUSE, FreeBSD. За последние 6 месяцев в Ghostscript выявлено уже 16 подобных уязвимостей. Напомним, что уязвимости в Ghostscript представляют повышенную опасность, так как данный пакет используется во многих популярных приложениях для обработки форматов PostScript и PDF. Например, Ghostscript вызывается в процессе создания миниатюр на … Читать далее Очередные критические уязвимости в Ghostscript

Доступен релиз анонимной сети I2P 0.9.39 и C++-клиента i2pd 2.24.0. Ключевые изменения в I2P 0.9.39: В официальный установщик включен плагин I2PControl для управления I2P-роутером через RPC API; Добавлена поддержка LeaseSet2 на флудфилах ( floodfill, proposal 123); Добавлена опция для отключения старого транспорта NTCP1; Добавлена поддержка offline-ключей в стримах; Добавлена поддержка websocket-соединений через HTTP прокси; Обновлен набор иконок в веб-консоли, удалены темы classic и midnight; Добавлена поддержка Tomcat 8.5.38. Ключевые изменения в i2pd 2.24.0: Поддержка transient ключей для LeaseSet2; Поддержка зашифрованных LeaseSet2; Поддержка типа подписи 11 (RedDSA); Поддержка websocket-соединений через HTTP прокси; Возможность отключить сохранение адресной книги; Исправлен race condition при … Читать далее Новый релиз анонимной сети I2P 0.9.39 и C++-клиента i2pd 2.24

После более года разработки консорциум ISC представил первый стабильный релиз новой значительной ветки DNS-сервера BIND 9.14. Поддержка ветки 9.14 будет осуществляться до 2 квартала 2020 года в рамках штатного цикла сопровождения. В следующем году будет сформирован LTS релиз 9.16, который будет поддерживаться три года. Обновления для прошлой LTS-ветки 9.11 продолжат выпускаться до декабря 2021 года. Поддержка ветки 9.12 прекратиться в июне. BIND 9.14.0 стал первым стабильный выпуском, сформированным в рамках новой схемы нумерации версий. Нечётные номера релизов теперь присваиваются экспериментальным веткам, в которых развивается функциональность для будущих стабильных веток, имеющих чётный номер выпуска. Формирование отдельных альфа- и бета-веток прекращено. Таким … Читать далее Выпуск BIND 9.14.0, разрывающий совместимость с серверами, не отвечающими на запросы с EDNS

Организация The Document Foundation объявила о выходе LibreOffice 6.2.2, второго корректирующего выпуска из семейства LibreOffice 6.2 «fresh». Версия 6.2.2 ориентирована на энтузиастов, опытных пользователей и тех, кто предпочитает самые свежие версии программного обеспечения. Для консервативных пользователей и предприятий пока рекомендуется использовать выпуск LibreOffice 6.1.5 «still». Готовые установочные пакеты подготовлены для платформ Linux, macOS и Windows. Обновление включает исправление 55 ошибок (RC1, RC2). Читать далее Корректирующий выпуск LibreOffice 6.2.2

Доступен новый выпуск SSH-клиента PuTTY 0.71, в котором устранены восемь уязвимостей. Некоторые проблемы выявлены участниками инициативы FOSSA (Free and Open Source Software Audit), выплачивающей вознаграждение за обнаружение уязвимостей в ключевых открытых проектах, применяемых в госучреждениях Евросоюза. Первая уязвимость позволяет организатору MITM-атаки обойти проверку DSA и получить доступ сеансу пользователя (просматривать и вносить изменения в сеансы), в случае использования ключей в формате DSA («ssh-dss»). Уязвимость возникла в процессе переработки криптографического стека, но к счастью присутствовала только в экспериментальной ветке Putty и была выявлена до публикации релиза. Вторая уязвимость выявлена в реализации протокола обмена ключами RSA и может привести к целочисленному переполнению … Читать далее Выпуски libssh2 1.8.1 и Putty 0.71 с устранением уязвимостей