В Firefox планируют реализовать анонимный сбор статистики о посещаемых сайтах

Разработчики Mozilla обсуждают возможность организации сбора более подробной статистики о поведении пользователя браузера, которая поможет оптимизировать браузер под реальные потребности пользователей. Проблема состоит в том, что для продолжения усовершенствования продукта назрела потребность в сборе более приватной информации, такой как список наиболее часто открываемых сайтов и особенности работы с конкретными сайтами (например, на каких сайтах пользователь активирует контента на Flash). В настоящее время Mozilla уже предлагает опцию, позволяющую принять участие в обезличенном сборе статистики (схема opt-in — по умолчанию выключено, но пользователь может включить), но отсутствует подход к сбору данных по умолчанию с возможностью отказа (схема opt-out — по умолчанию включено, … Читать далее В Firefox планируют реализовать анонимный сбор статистики о посещаемых сайтах

Релиз системы самодостаточных пакетов Flatpak 0.9.8 с поддержкой режима P2P

Доступен релиз инструментария Flatpak 0.9.8, в рамках которого развивается система для сборки самодостаточных пакетов, которые не привязаны к конкретным дистрибутивам Linux и выполняются в специальном контейнере, изолирующем приложение от остальной системы. Поддержка выполнения Flatpak-пакетов обеспечена для Arch Linux, CentOS, Debian, Fedora, Gentoo, Mageia и Ubuntu. Пакеты с Flatpak включены в репозиторий Fedora и поддерживаются в штатной программе управления приложениями GNOME. В новом выпуске добавлена экспериментальная поддержка P2P-установок (peer2peer), активируемая при помощи опции «—enable-p2p» и позволяющая организовать загрузку приложений и runtime-наборов через промежуточные узлы в локальной сети или через перенос данных на сменных носителях для систем не имеющих сетевого подключения. Из … Читать далее Релиз системы самодостаточных пакетов Flatpak 0.9.8 с поддержкой режима P2P

Следующий выпуск DragonFly BSD будет поставляться с начальной реализацией ФС HAMMER2

Мэтью Диллон (Matthew Dillon), лидер проекта DragonFly BSD, объявил о поставке в следующем выпуске DragonFly BSD начальной реализации файловой системы HAMMER2, которая развивается проектом с 2012 года. Следующий релиз DragonFly BSD намечен на сентябрь. Поддержка HAMMER2 будет включена в базовую поставку, но без опции для настройки в инсталляторе, так как будет позиционироваться как экспериментальная ФС. Отмечается, что в первом выпуске HAMMER2 работа будет ограничена только средствами работы на одном разделе (single-image), без использования функций кластеризации (multi-master зеркалирование с распределением данных на несколько хостов) и работы на нескольких разделах, которые пока не готовы. Также не доведена до конца поддержка квот и … Читать далее Следующий выпуск DragonFly BSD будет поставляться с начальной реализацией ФС HAMMER2

Gentoo прекращает формирование hardened-варианта ядра Linux

Проект Gentoo объявил, что в связи с прекращением бесплатного распространения патчей grsecurity, разработчики Gentoo больше не имеют возможности поддерживать hardened-сборки ядра Linux. Так как для hardened-ветки теперь невозможно обеспечить регулярный выпуск обновлений и, соответственно, невозможно поддерживать на должном уровне безопасность данной кодовой базы, принято решение 27 августа скрыть пакет sys-kernel/hardened-sources и полностью удалить его до конца сентября. Пользователям hardened-пакета рекомендуется перейти на обычное ядро sys-kernel/gentoo-sources и использовать SELinux и средства усиления безопасности при сборке компонентов пространства пользователя. В качестве альтернативы на свой страх и риск пользователи могут воспользоваться ядром Linux 4.9, самостоятельно применив к нему неофициальные патчи grsecurity или вариант … Читать далее Gentoo прекращает формирование hardened-варианта ядра Linux

Выпуск мобильной платформы Android 8.0 "Oreo"

Компания Google представила выпуск платформы Android 8.0 «Oreo». В ближайшее время обновление будет предложено пользователям устройств Pixel, Pixel XL, Pixel C, Nexus 5X, Nexus 6P и Nexus Player. До конца года ожидаются новые устройства на базе Android 8 или обновления прошивок от компаний Essential, General Mobile, HMD Global Home of Nokia Phones, Huawei, HTC, Kyocera, LG, Motorola, Samsung, Sharp и Sony. Связанные с новым выпуском исходные тексты сегодня будут размещены в Git-репозиторий проекта (ветка android-8.0.0_r1). Из ключевых новшеств можно отметить режим «картинка в картинке», каналы уведомлений, адаптивные пиктограммы, технология прямого соединения Wi-Fi Aware, фреймворк Telecom, AAudio API для профессиональной обработки … Читать далее Выпуск мобильной платформы Android 8.0 "Oreo"

Проект OpenBSD представил технику защиты RETGUARD

Тео де Раадт (Theo de Raadt) представил предварительную реализацию техники защиты RETGUARD, которую планируется интегрировать в OpenBSD для усложнения выполнения эксплоитов, построенных с использованием заимствования кусков кода и приёмов возвратно-ориентированного программирования (ROP, Return-Oriented Programming). Суть метода защиты RETGUARD заключается в искажении адреса возврата обработчиков типовых функций системных библиотек и ядра — перед началом обработчика и перед командой возврата управления (ret) добавляется вызов «xorl %rsp,(%rsp)» для x86_64 или «xorl %esp,(%rsp)» для 32-разрядных систем x86. При штатном ходе выполнения первый xor инвертирует адрес возврата, а второй инвертирует его второй раз, возвращая к изначальному виду. При выполнении эксплоита осуществляется переход на составляющий эксплоит … Читать далее Проект OpenBSD представил технику защиты RETGUARD

Red Hat передаёт язык Ceylon на попечительство организации Eclipse Foundation

Компания Red Hat инициировала процесс передачи управления над разработкой языка программирования Ceylon некоммерческой организации Eclipse Foundation, курирующей развитие платформы для создания интегрированных сред разработки и различных проектов на языке Java. Основной целью передачи проекта является воплощение в жизнь независимой от конкретного производителя модели управления, которая позволит привлечь к разработке новых участников и повысить популярность платформы среди пользователей. Организация Eclipse Foundation утвердила приём Ceylon в число проектов Eclipse и начала процесс интеграции в инкубаторе. Кроме дистрибутива Ceylon, включающего компиляторы, утилиты, базовые библиотеки и стандартный набор модулей, в руки Eclipse также перейдут SDK, транслятор Java2Ceylon, сервер Ceylon Herd для распространения модулей, интегрированная … Читать далее Red Hat передаёт язык Ceylon на попечительство организации Eclipse Foundation

Выпуск свободного движка социальной сети Diaspora 0.7

В канун пятилетия с момента передачи контроля над проектом независимому сообществу сформирован седьмой значительный (0.7.0.0) релиз движка социальной сети Diaspora. В рамках проекта Diaspora развивается децентрализованная социальная сеть, в которой пользователи сами контролируют свои данные, размещая их на собственных локальных серверах. Каждый локальный сервер выступает полноценным сегментом сети, совокупность которых образует единую распределённую социальную сеть. Весь трафик в сети снабжается цифровой подписью и шифруется. Код системы написан на языке Ruby и распространяется под лицензией AGPLv3. Из новшеств можно отметить: Возможность указания ссылок на людей в комментариях и публикациях; Доступность визуального редактора разметки markdown не только для публикаций, но и для … Читать далее Выпуск свободного движка социальной сети Diaspora 0.7

Выпуск Wine 2.15

Состоялся экспериментальный выпуск открытой реализации Win32 API — Wine 2.15. С момента выпуска версии 2.14 было закрыто 9 отчётов об ошибках. Наиболее важные изменения: Добавлена поддержка шифрования AES; Улучшена поддержка кривых Безье в Direct2D; Улучшены средства chunked-передачи в WinInet; Закрыты отчёты об ошибках, связанные с работой игр и приложений: Illustrator CS6, emClient, Bricscad, Microsoft Outlook 2010, XM6 TypeG, Peavey Revalver IV, FUJITSU Software ATLAS, Magic The Gathering: Online. Читать далее Выпуск Wine 2.15

Релиз свободного игрового движка Urho3D 1.7

После года разработки сформирован выпуск свободного игрового движка Urho3D 1.7, поддерживающего создание 2D и 3D игр. Urho3D поддерживает множество платформ (Windows, Linux, macOS, Android, iOS, Raspberry Pi, HTML5), очень быстр, легковесен, позволяет создавать игры на языках C++, AngelSript и Lua (также существует порт для платформы .Net). Принципы использования движка достаточно близки к Unity, что позволяет быстро освоить применение Urho3D разработчиками, знакомыми с Unity. Код проекта распространяется под лицензией MIT. Некоторые новшества: Инверсная кинематика (используется, например, для правильной постановки ног, когда персонаж движется по неровному ландшафту); Суперсэмлинг для SDF-шрифтов (улучшает качество 3D-текста, который находится очень далеко и имеет маленький размер) Изображение … Читать далее Релиз свободного игрового движка Urho3D 1.7

Gentoo прекращает формирование hardened-сборок ядра Linux

Проект Gentoo объявил, что в связи с прекращением бесплатного распространения патчей grsecurity, разработчики Gentoo больше не имеют возможности поддерживать hardened-сборки ядра Linux. Так как для hardened-ветки теперь невозможно обеспечить регулярный выпуск обновлений и, соответственно, невозможно поддерживать на должном уровне безопасность данной кодовой базы, принято решение 27 августа скрыть пакет sys-kernel/hardened-sources и полностью удалить его до конца сентября. Пользователям hardened-сборок рекомендуется перейти на обычное ядро sys-kernel/gentoo-sources и использовать SELinux и средства усиления безопасности при сборке компонентов пространства пользователя. В качестве альтернативы на свой страх и риск пользователи могут воспользоваться ядром Linux 4.9, самостоятельно применив к нему неофициальные патчи grsecurity или вариант … Читать далее Gentoo прекращает формирование hardened-сборок ядра Linux

В тестовых сборках Ubuntu 17.10 по умолчанию задействована панель Ubuntu Dock

Разработчики Ubuntu сообщили о включении в тестовые сборки Ubuntu 17.10 новой панели Ubuntu Dock, которая выполнена в виде расширения к оболочке GNOME Shell. Оформление Ubuntu Dock во многом напоминает панель Unity, что позволит сохранить привычный внешний вид и упростить миграцию пользователей Unity на GNOME. Параллельно доступен классический сеанс GNOME, поставляемый без расширений. Панель основана на коде расширения Dash To Dock и позиционируется как лёгкий форк, отличающийся от основного расширения главным образом предлагаемыми по умолчанию настройками и иным идентификатором расширения. Состояние репозитория Ubuntu Dock решено поддерживать максимально приближенным к основному проекту и постоянно синхронизировать кодовые базы. Развитие функциональности предлагается производить в … Читать далее В тестовых сборках Ubuntu 17.10 по умолчанию задействована панель Ubuntu Dock

Facebook отказался перелицензировать React для проектов фонда Apache

Компания Facebook сообщила, что не имеет возможности отказаться от применяемой ныне лицензии BSD с дополнительным соглашением об использовании патентов («BSD+Patent»). Представители Facebook пояснили, что отказ от текущего текста приложения о патентах приведёт к ослаблению защиты от патентных троллей и увеличению ресурсов, которые придётся тратить на отражение необоснованных патентных исков. Напомним, что в прошлом месяце Фонд Apache добавил «BSD+Patent» в список несовместимых лицензий, код под которыми не разрешается использовать в проектах Apache. До 31 августа проектам Apache предписано избавиться от зависимостей под лицензией «BSD+Patent», таких как JavaScript-фреймворк React, применяемый в том числе в Apache CouchDB. Как вариант выхода из сложившейся ситуации … Читать далее Facebook отказался перелицензировать React для проектов фонда Apache

Уязвимости в системе управления web-контентом Drupal

Представлен корректирующий выпуск системы управления контентом Drupal 8.3.7 в котором устранены три уязвимости. Уязвимость CVE-2017-6925 отнесена к категории критических проблем и позволяет получить неавторизированный доступ к средствам для просмотра, создания, обновления и удаления объектов. Уязвимость проявляется только для объектов, которые не используются, которым не присвоен UUID или которые имею разные ограничения доступа в разных ревизиях. Вторая уязвимость CVE-2017-6923 отмечена как умеренно-критическая и позволяет получить доступ к представлениям, настроенным для обработки через Ajax, в обход заданным правилам доступа. Связанная с Ajax уязвимость также проявляется во многих сторонних модулях к Drupal 7 и 8, и позволяет получить данные, к которым ограничен публичный … Читать далее Уязвимости в системе управления web-контентом Drupal

Получение контроля над смартфоном после ремонта через комплектующие

Исследователи из Университета имени Давида Бен-Гуриона в Негеве (Израиль) на проходящей на днях конференции USENIX Security 2017 опубликовали результаты эксперимента по оценке возможности внедрения в смартфоны шпионских и вредоносных закладок через установку во время ремонта специально модифицированных деталей. В качестве подтверждения реалистичности подобных атак рассмотрена ситуация замены повреждённого экрана. Исследователями были подготовлены прототипы модифицированных экранов для смартфонов Huawei Nexus 6P и LG G Pad 7.0, в которые был встроен дополнительный чип, контролирующий коммуникационную шину I2C, по которой осуществляется передача данных от аппаратного компонента к драйверу. По аналогии с MITM атака классифицирована как CITM («Chip-In-The-Middle») и в контенте сенсорного экрана позволяет … Читать далее Получение контроля над смартфоном после ремонта через комплектующие

Компания Oracle намерена передать разработку Java EE независимому сообществу

Компания Oracle поделилась планами о дальнейшей судьбе платформы Java EE (Java Platform Enterprise Edition). Отмечается, что работа над спецификацией Java EE 8 близка к завершению — компания намерена опубликовать эталонную реализацию Java EE 8 в этом месяце и представить её на конференции JavaOne 2017. В дальнейшем компания Oracle рассчитывает модернизировать модель разработки Java EE и сделать её по настоящему открытой платформой, не только с позиции доступности кода, но и в области участия сообщества в развитии платформы. Сейчас процесс разработки полностью подконтролен Oracle и не является достаточно гибким и открытым. В качестве основного варианта модернизации разработки рассматривается перемещение технологий Java EE, … Читать далее Компания Oracle намерена передать разработку Java EE независимому сообществу

Отслеживание перемещения в соседней комнате при помощи динамика и микрофона обычного ПК

Группа исследователей из Вашингтонского университета разработала метод создания сонара для отслеживания перемещения людей и определения положения предметов при помощи штатных микрофонов и громкоговорителей ноутбуков, ПК, смартфонов и различных потребительских устройств, таких как умные телевизоры, мультимедийные центры или персональные помощники (например, Amazon Alexa). Получив контроль за одним из подобных устройств атакующий может не только записывать разговоры, но и незаметно отслеживать активность людей в помещении при прослушивании ими специально изменённых музыкальных композиций. Техника атаки получила название CovertBand и основана на подстановке в воспроизводимые в помещении музыкальные композиции специальных высокочастотных периодических всплесков, которые не заметны на фоне музыки, но хорошо улавливаются микрофоном. На … Читать далее Отслеживание перемещения в соседней комнате при помощи динамика и микрофона обычного ПК

Релиз растрового графического редактора Krita 3.2

Состоялся релиз растрового графического редактора Krita 3.2, развиваемого для художников и иллюстраторов. Редактор поддерживает многослойную обработку изображений, предоставляет средства для работы с различными цветовыми моделями и обладает большим набором средств для цифровой живописи, создания скетчей и формирования текстур. Для установки подготовлены самодостаточные образы в форматах AppImage и Snap для Linux (для Ubuntu дополнительно подготовлен PPA), а также бинарные сборки для macOS и Windows. Ключевые улучшения: Предложен новый плагин gmic-qt, созданный и поддерживаемый разработчиками фреймворка для обработки изображений G’Mic. Плагин предоставляет большую подборку готовых фильтров для обработки изображений и является аналогом плагина для редактора GIMP, реализованным на базе нового универсального интерфейса … Читать далее Релиз растрового графического редактора Krita 3.2

Выпуск KDE Applications 17.08

Доступен релиз набора KDE Applications 17.08, включающего подборку пользовательских приложений, адаптированных для работы с KDE Frameworks 5. Набор KDE Applications пришёл на смену приложениям из состава KDE SC, которые теперь развиваются в рамках отдельного цикла разработки, не привязанного к веткам KDE, и выпускаются по новой схеме нумерации версий. Информацию о наличии Live-сборок с новым выпуском можно получить данной странице. KDE Applications 17.08 является последним выпуском, в котором допускается поставка приложений, использующих Qt4 и kdelibs4. В следующем выпуске программы не переведённые на Qt5 и KDE Frameworks 5 будут исключены из набора. Основные новшества: С kdelibs4 на использование KDE Frameworks 5 переведены … Читать далее Выпуск KDE Applications 17.08

Новый выпуск Raspbian, основанный на пакетной базе Debian 9

Разработчики проекта Raspberry Pi опубликовали обновление дистрибутива Raspbian. Для загрузки подготовлены две сборки — сокращённая (348 Мб) для серверных систем и полная (1.6 Гб), поставляемая с пользовательским окружением PIXEL (ответвление от LXDE). Для установки из репозиториев доступно около 35 тысяч пакетов. Ключевым изменением в новой версии является обновление пакетной базы до Debian 9 «Stretch». Добавлена поддержка передачи звука через Bluetooth с использованием подсистемы ALSA и модуля bluez-alsa, что позволило отказаться от использования PulseAudio по умолчанию. Обеспечена корректная работа с именами пользователей, отличными от задаваемого по умолчанию пользователя «pi».Браузер Chromium обновлён до версии 60, в которой сокращено потребление памяти. В дистрибутиве … Читать далее Новый выпуск Raspbian, основанный на пакетной базе Debian 9

Уязвимость в протоколе CAN, затрагивающая почти все современные автомобили

В протоколе CAN (Controller Area Network), применяемом во всех современных автомобилях для организации взаимодействия между электронными компонентами, выявлена концептуальная уязвимость, позволяющая деактивировать подключенные к CAN узлы, в том числе отвечающие за безопасность. Например, можно отключить подушки безопасности, ABS, освещение или парковочные датчики. Уязвимость может быть эксплуатирована как локально, так и удалённо. Локальная атака, которая не лишены смысла в условиях роста популярности каршеринга и аренды автомобилей, осуществляется через подключение к имеющимся в автомобиле штатным диагностическим портам, предоставляющим доступ к шине CAN. Атака требует использования специального оборудования, которое было собрано исследователями на базе платы Arduino и чипа MCP2551 E/P для приёма и … Читать далее Уязвимость в протоколе CAN, затрагивающая почти все современные автомобили