В четырёх популярных дополнениях к Chrome выявлен вредоносный код

Исследователи из компании ICEBRG выявили четыре дополнения к Google Chrome, в которых присутствовали вредоносные вставки, позволяющие выполнять в браузере произвольный код, загружаемый со сторонних сайтов. Аудитория одного из проблемных дополнений насчитывает 509 тысяч пользователей. Компания ICEBRG была привлечена для разбора причин появления аномального трафика с рабочих станций одного из клиентов. В результате проведённого исследования было определено, что причиной данного трафика являются четыре дополнения, представленные в каталоге Chrome Web Store: Nyoogle — Custom Logo for Google (509 тысяч пользователей), Lite Bookmarks, Change HTTP Request Header (14 тысяч), и Stickies — Chrome’s Post-it Notes (21 тысяча). В дополнениях был прошит код для … Читать далее В четырёх популярных дополнениях к Chrome выявлен вредоносный код

Тестирование рабочего стола KDE Plasma 5.12

Доступна для тестирования бета-версия пользовательской оболочки Plasma 5.12, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Протестировать новый выпуск можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon. Пакеты для различных дистрибутивов можно найти на данной странице. Релиз ожидается 6 февраля. Новая версия отнесена к категории выпусков с длительным сроком поддержки (LTS), поэтому при подготовке релиза особое внимание уделяется обеспечению стабильности, оптимизации производительности и улучшению переносимости между разными пользовательскими окружениями. KDE Plasma 5.12 станет первым LTS-выпуском с поддержкой Wayland, которая пока окончательно не стабилизирована для всего оборудования, … Читать далее Тестирование рабочего стола KDE Plasma 5.12

Уязвимость в BitTorrent-клиенте Transmission, позволяющая выполнить код

В BitTorrent-клиенте Transmission выявлена уязвимость (CVE-2018-5702), затрагивающая RPC-интерфейс, используемый для организации связи между бэкендом (рабочий процесс) и фронтэндом (интерфейс). Уязвимость позволяет организовать атаку, которая, если в системе запущен демон Transmission, может привести к выполнению произвольного кода, при открытии на той же системе в браузере сайта атакующего. Исправление доступно в виде патча и обновления для Arch Linux, Debian и FreeBSD (пока недоступно для Fedora, SUSE, openSUSE, Ubuntu, RHEL/EPEL). По умолчанию бэкенд принимает запросы на сетевом порту 9091, привязываясь к интерфейсу localhost (127.0.0.1). Запросы фронтэндов отправляются с использованием формата JSON, а для успешного подключения обязательно заполнение HTTP-заголовка «X-Transmission-Session-Id». Злоумышленник может создать страницу, … Читать далее Уязвимость в BitTorrent-клиенте Transmission, позволяющая выполнить код

Новые Web API в Firefox будут доступны только для HTTPS

Компания Mozilla объявила о применении принципа защищённого контекста (Secure Context) к новым Web-технологиям, которые будут появляться в будущих выпусках Firefox. Secure Context подразумевает, что ряд возможностей для web-разработки станет доступен только при открытии с использованием защищённого соединения. По мнению разработчиков, данная тактика позволит ускорить повсеместный переход сайтов на HTTPS, а в случае доступа по HTTP усложнит проведение атак, которые могут привести к утечке персональных данных или получению низкоуровневого доступа к оборудованию. По возможности все новшества теперь будут привязываться к HTTPS, в том числе новые CSS-свойства, расширения существующих объектов JavaScript, новые HTTP-заголовки и новые Web API (например, WebVR). Привязка к HTTPS … Читать далее Новые Web API в Firefox будут доступны только для HTTPS

Выпуск браузера Pale Moon 27.7.0

Доступен релиз web-браузера Pale Moon 27.7.0, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. На уровне поддержки базовых web-технологий и тем оформления браузер остаётся совместим с Firefox. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. Из улучшений выделяются оптимизации для процессоров Atom, дополнительные … Читать далее Выпуск браузера Pale Moon 27.7.0

Выпуск Coreboot 4.7

После десяти месяцев разработки подготовлен релиз проекта CoreBoot 4.7, в рамках которого разрабатывается свободная альтернатива проприетарным прошивкам и BIOS. В создании новой версии приняло участие 150 разработчиков, которые подготовили 2573 изменения. Основные новшества: В состав интегрирован инструментарий me_cleaner, предназначенный для очистки содержимого прошивки Intel ME. Me_cleaner оставляет только компоненты для начальной инициализации CPU, все остальные модули удаляются (прошивка сокращается с 5 Мб до 300 Кб); Добавлена поддержка чипсетов AMD Stoney Ridge, Intel i82801jx Southbridge (ICH10), Intel Denverton, Intel Denverton-NS, а также начальная поддержка Intel Cannon Lake; Добавлена поддержка встраиваемого контроллера KBC1126, используемого в ноутбуках HP EliteBooks; Добавлена команда flashconsole с … Читать далее Выпуск Coreboot 4.7

В SoftEther VPN найдено 11 уязвимостей

Гвидо Вренкен (Guido Vranken), в своё время выявивший несколько опасных уязвимостей в различых реализациях SSL/TLS и в OpenVPN, опубликовал результаты аудита мультипротокольного открытого VPN-сервера SoftEther. В ходе 80-часового исследования кода и fuzzing-тестирования в проекте было выявлено 11 уязвимостей. Разработчики SoftEther VPN оперативно выпустили обновление 4.25 Build 9656, в котором устранили обнаруженные проблемы. Семь уязвимостей были вызваны отсутствием должных проверок и могут привести к переполнению буфера. По предварительной оценке данные уязвимости проблематично использовать для создания эксплоитов для выполнения кода атакующего, но можно применять для инициирования краха серверного процесса. 4 уязвимости вызваны утечками памяти и могут привести к исчерпанию доступной процессу памяти. Читать далее В SoftEther VPN найдено 11 уязвимостей

Выпуск сервера приложений NGINX Unit 0.4

Опубликован четвёртый публичный выпуск сервера приложений NGINX Unit, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования. Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Проект пока находится на стадии бета-тестирования и не рекомендован для промышленного использования. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе прошлого выпуска. В новой версии обеспечена совместимость с операционной системой DragonFly BSD и добавлена сборочная опция для статической сборки библиотеки libphp («configure … Читать далее Выпуск сервера приложений NGINX Unit 0.4

Обновление микрокода Intel приводит к перезагрузкам систем с CPU Broadwell и Haswell

Компания Intel сообщила, что анализирует причины появления проблемы, всплывающей после установки на системы недавно опубликованного обновления микрокода. Пользователи, установившие обновление микрокода от Intel, столкнулись с проблемой частых перезагрузок. Intel традиционно не сообщает подробности — кроме того, что проблеме подвержены системы с CPU Broadwell и Haswell. Если связь проблемы с новым микрокодом подтвердится, то будет выпущено ещё одно обновление. Читать далее Обновление микрокода Intel приводит к перезагрузкам систем с CPU Broadwell и Haswell

Метод отслеживания посетителей сайтов при помощи CSS, без JavaScript

Jan Böhmer опубликовал прототип системы для организации отслеживания перемещения посетителей по сайтам, который ограничивается использованием только CSS и не требует выполнения кода на JavaScript. При размещении на сайте представленного кода организуется передача на внешний сервер базовой информации о посетителе, включая сведения о разрешении экрана, типе браузера и наличии заданных шрифтов. На основе различий в доступных шрифтах можно определить тип ОС. Кроме того, определяется по каким ссылкам на странице переходил пользователь или к которым из ссылок подводил курсор мыши. Также могут быть выявлены общие особенности перемещения мыши по экрану (фоном выводится невидимая таблица полей, по которой определяется перемещение мыши). В текущем … Читать далее Метод отслеживания посетителей сайтов при помощи CSS, без JavaScript

Обновление микрокода intel приводит к перезагрузкам систем с CPU Broadwell и Haswell

Компания Intel сообщила, что анализирует причины появления проблемы, всплывающей после установки на системы недавно опубликованного обновления микрокода. Пользователи, установившие обновление микрокода от Intel, столкнулись с проблемой частых перезагрузок. Intel традиционно не сообщает подробности — кроме того, что проблеме подвержены системы с CPU Broadwell и Haswell. Если связь проблемы с новым микрокодом подтвердится, то будет выпущено ещё одно обновление. Читать далее Обновление микрокода intel приводит к перезагрузкам систем с CPU Broadwell и Haswell

Представлена LittleFS, компактная файловая система для встраиваемых устройств

Проект Mbed OS, в рамках которого компания ARM развивает открытую ОС для устройств «Интернета вещей», представил новую файловую систему LittleFS, оптимизированную для встраиваемых систем. Код ФС написан на языке Си и распространяется под лицензией Apache 2.0. ФС LittleFS доступна в составе Mbed OS 5.7, как FUSE-модуль для монтирования из Linux, в форме Си-библиотеки для интеграции с приложениями и как обвязка для JavaScrpt (emscripten) для обращения к данным из браузера. Реализация LittleFS включает около 2000 строк кода, система не требовательна к ресурсам и может работать в условиях ограниченного размера ОЗУ. В коде не используются рекурсивные вызовы и возможна работа без динамического … Читать далее Представлена LittleFS, компактная файловая система для встраиваемых устройств

В Firefox тестируют механизм ускорения навигации по вкладкам

В ночных сборках Firefox началось тестирование нового механизма ускорения перехода между открытыми вкладками. Суть метода в обеспечении упреждающей отрисовки содержимого, не дожидаясь явного клика на вкладке. При подведении курсора к вкладке браузер осуществляет отрисовку в буфер композитинга и в случае клика мгновенно выводит уже готовое содержимое на экран, устраняя задержку на отрисовку видимых областей. Без данной оптимизации браузер отправляет процессу обработки контента сообщение о необходимости отрисовки слоёв, после чего ожидает получение результата подсистемой композитинга, и только затем фактически показывает вкладку. Для многих сайтов данный этап выполняется с незаметной для пользователя задержкой, но для некоторых сайтов, особенно если используется SVG или … Читать далее В Firefox тестируют механизм ускорения навигации по вкладкам

В Firefox 59 будет прекращена поддержка GTK+ 2

В выпуске Firefox 59, который намечен на 13 марта, будет прекращена поддержка сборки с использованием библиотеки GTK+ 2. Для платформы GNU/Linux можно будет использовать только GTK+ 3. Возможность сборки с GTK+ 2 уже удалена из репозитория mozilla-central, на базе которого формируются ночные сборки Firefox. Читать далее В Firefox 59 будет прекращена поддержка GTK+ 2

Выпуск программы для управления фотографиями digiKam 5.8

Доступен релиз программы для управления коллекцией фотографий digiKam 5.8.0. В новом выпуске закрыто 230 отчётов об ошибках. Из новшеств можно отметить: Добавлен новый инструмент для экспорта коллекции фотографий на внешние устройства, доступные через UPNP/DLNA. Инструмент для вывода контента через DLNA встроен в основное меню digiKam и Showfoto и доступен во всех режимах отображения. Самодостаточные установочные пакеты для Linux переведены на использование свежего выпуска AppImage SDK и теперь поддерживают выполнение в изолированном режиме с использованием sandbox-окружения на базе инструментария Firejail. Установщик для Windows переведён на новую версию NSIS, совместимую с Windows 10. Расширены возможности пакета для macOS (например, появилась поддержка сканеров) … Читать далее Выпуск программы для управления фотографиями digiKam 5.8

В Firefox 59 будет прекращена поддержка GTK2+

В выпуске Firefox 59, который намечен на 23 марта и станет следующим релизом с длительным сроком поддержки (ESR), будет прекращена поддержка сборки с использованием библиотеки GTK2+. Для платформы GNU/Linux можно будет использовать только GTK3+. Возможность сборки с GTK2+ уже удалена из репозитория mozilla-central, на базе которого формируются ночные сборки Firefox. Читать далее В Firefox 59 будет прекращена поддержка GTK2+

Эксперимент по созданию файловой системы, хранящей данные в кэше DNS

Под вдохновением от проекта PingFS, предпринята попытка создания более надёжной ФС — DNSFS. Как и PingFS проект DNSFS позиционируется как эксперимент, не рассчитанный на серьёзное использование. В PingFS для хранения информации используется поле с данными в пакетах ICMP Echo — инициируется серия непрерывных операций ping, и каждый ответ синхронизирует примерно 1400 байт информации по аналогии с синхронизацией содержимого памяти (время жизни информации от отправки пакета до получения ответа). Но в случае остановки ping или потери пакета информация потеряется. В DNSFS для хранения информации решено использовать кэш DNS. Для определения общедоступных резолверов было произведено сканирование всех IP-адресов сети при помощи пакета … Читать далее Эксперимент по созданию файловой системы, хранящей данные в кэше DNS

В коммутаторах Lenovo и IBM выявлен бэкдор

Компания Lenovo сообщила о выявлении бэкдора (CVE-2017-3765) в операционной системе ENOS (Enterprise Network Operating System), которая поставляется в некоторых моделях коммутаторов Lenovo и IBM (Flex System Fabric, RackSwitch и BladeCenter). Проблема найдена в ходе аудита кодовой базы ENOS, проведённого сотрудниками Lenovo. Получив управление злоумышленник мог изменить произвольные настройки, в том числе организовать зеркалирование и анализ трафика или нарушить нормальную работу инфраструктуры. Найденный бэкдор позволял получить доступ к интерфейсу управления коммутатором с правами администратора, используя предопределённые учётные данные, уникальные для каждого коммутатора. Бэкдор действовал при входе через ssh, telnet, последовательный порт или web-интерфейс, в случае выполнения определённых условий в сочетании с … Читать далее В коммутаторах Lenovo и IBM выявлен бэкдор

Обновление установочных сборок Ubuntu 17.10.1

Компания Canonical опубликовала обновлённый набор iso-образов Ubuntu 17.10.1, который заменил собой изначально предлагаемые сборки Ubuntu 17.10 для систем на базе архитектуры x86, которые были отозваны из-за проблем в пакете с ядром Linux, приводящих к повреждению прошивки некоторых моделей ноутбуков Lenovo, Acer, Dell, HP и Toshiba. Обновления подготовлены для Ubuntu Desktop, Ubuntu Server, Lubuntu, Ubuntu Budgie, Ubuntu Kylin, Ubuntu MATE и Xubuntu. Читать далее Обновление установочных сборок Ubuntu 17.10.1

Эксперимент по создания файловой системы, хранящей данные в кэше DNS

Под вдохновением от проекта PingFS, предпринята попытка создания более надёжной ФС — DNSFS. Как и PingFS проект DNSFS позиционируется как эксперимент, не рассчитанный на серьёзное использование. В PingFS для хранения информации используется поле с данными в пакетах ICMP Echo — инициируется серия непрерывных операций ping, и каждый ответ синхронизирует примерно 1400 байт информации по аналогии с синхронизацией содержимого памяти (время жизни информации от отправки пакета до получения ответа). Но в случае остановки ping или потери пакета информация потеряется. В DNSFS для хранения информации решено использовать кэш DNS. Для определения общедоступных резолверов было произведено сканирование всех IP-адресов сети при помощи пакета … Читать далее Эксперимент по создания файловой системы, хранящей данные в кэше DNS

Уязвимость в Glibc, позволяющая поднять привилегии в системе

В стандартной библиотеке Glibc выявлена уязвимость (CVE-2018-1000001), вызванная переполнением через нижнюю границу буфера в функции realpath(), проявляющимся при возврате относительного пути системным вызовом getcwd(). Изначально ядро Linux возвращало в getcwd() только абсолютные пути, но затем в ядре 2.6.36 поведение было изменено, но функции Glibc не были адаптированы на обработку относительных путей. Относительные пути возвращаются при достаточно редкой ситуации, когда процесс не меняет текущую директорию после выполнения вызова chroot и путь к корню оказывается вне области текущего дерева каталогов. Начиная с ядра Linux 2.6.36 начальная часть такого пути заменяется на строку «(unreachable)». Непривилегированный пользователь может добиться аналогичного эффекта сменив текущую директорию … Читать далее Уязвимость в Glibc, позволяющая поднять привилегии в системе