Представлена техника атаки, позволяющая шпионить за соседними USB-устройствами

Группа исследователей из Аделаидского университета (Австралия) разработала метод атаки по сторонним каналам, анализирующей наводки в электрических цепях USB для получения информации об активности соседних USB-устройств. В частности, показана возможность создания вредоносных USB-устройств, которые могут шпионить за USB-устройствами, подключенными в соседние USB-порты. Детали атаки будут опубликованы на следующей неделе, после доклада на конференции USENIX Security Symposium. В ходе исследования было изучено 50 USB-устройств, из которых более 90% оказались подвержены утечке информации по сторонним каналам. В ходе эксперимента на базе светильника, питающегося через порт USB, был подготовлен прототип вредоносного устройства, которое позволяло собирать данные о клавишах, нажатых на клавиатуре, подключенной в соседний … Читать далее Представлена техника атаки, позволяющая шпионить за соседними USB-устройствами

W3C рассматривает вопрос перевода предыдущих спецификаций HTML в разряд устаревших

Консорциум W3C, курирующий разработку web-стандартов, инициировал обсуждение предложения по переводу всех предыдущих версий спецификаций HTML и XHTML в разряд устаревших и не рекомендованных для использования. В том числе в разряд устаревших предлагается перевести спецификации HTML 3.2, 4.0, 4.01 и 5.0, оставив актуальными лишь спецификации HTML 5.1. Комментарии по данному предложению будут приниматься до 7 сентября, после чего на основе собранных отзывов будет вынесено решение по воплощению предложения в жизнь. Читать далее W3C рассматривает вопрос перевода предыдущих спецификаций HTML в разряд устаревших

Релиз Polemarch 0.0.5, web-интерфейса для оркестровки серверной инфраструктуры

Представлен релиз Polemarch 0.0.5, web-интерфейса для оркестровки серверной инфраструктуры на базе Ansible, который по своим возможностям напоминает продукт Ansible Tower, но обладает некоторыми особенностями. Код проекта написан на языках Python и Javascript с использованием фреймворков Django и Celery. Проект распространяется под лицензией AGPL. Для хранения данных могут использоваться SQLite, MySQL/MariaDB, PostgreSQL и Oracle. Основные возможности Polemarch: Разделение задач на проекты; Загрузка репозитория Ansible с плейбуками, настройками и другими файлами из Git, публичного tar-архива или файловой системы (например, при размещении директории проектов на NFS или другом сетевом хранилище); Запуск задач по расписанию или с интервалом; Запуск ansible-модулей или плейбуков из проекта; … Читать далее Релиз Polemarch 0.0.5, web-интерфейса для оркестровки серверной инфраструктуры

Выпуск открытой биллинговой системы ABillS 0.76

После семи месяцев разработки состоялся релиз открытой биллинговой системы ABillS 0.76.26, компоненты которой поставляются под лицензией GPLv2. Основные новшества: Internet+ — один модуль для управления Internet услугами (Dv+Ipn+Dhcphosts+VLAN) Netblock — Модуль блокировки запрещенных ресурсов Поддержка Web push и Telegram Telegram чаты для Msgs Вебконфигуратор Mikrotik Mikrotik API В релиз включены платные модули Maps и Cablecat Новая система уведомлений Добавлена утилита проверки целостности базы даных PON: регистрация приставок для ZTE Читать далее Выпуск открытой биллинговой системы ABillS 0.76

DMCA использован для удаления из списка блокировки рекламы Easylist

Стартап Admiral, развивающий технологии для противодействия блокировщикам рекламы, успешно добился удаления своего домена functionalclam.com из списка блокировки Easylist под предлогом необходимости соблюдения действующего в США Закона об авторском праве в цифровую эпоху (DMCA). EasyList является одним из самых популярных списков блокировки рекламы, который используется в Adblock Plus, UBlock Origin и Opera. В GitHub, на котором ведётся разработка Easylist, был отправлен DMCA-запрос, текст которого пока не раскрывается. Представители GitHub связались с разработчиками Easylist, которые чтобы избежать блокировки репозитория удалили запрошенный домен и развернули дискуссию о том, насколько правомерно применение DMCA как инструмента для удаления своих хостов из списков блокировки. Юристы организации … Читать далее DMCA использован для удаления из списка блокировки рекламы Easylist

Уязвимости в реализации сокетов AF_PACKET и UDP-стеке ядра Linux

В сетевой подсистеме ядра Linux выявлены две опасные уязвимости, которые позволяют локальному пользователю повысить свои привилегии в системе: Первая уязвимость (CVE-2017-1000112) вызвана состоянием гонки (race condition) в коде управления аппаратно акселерированным разбором фрагментированных UDP-пакетов — UFO (UDP Fragmentation Offload). Суть проблемы в том, что построение пакета для UFO осуществляется при помощи вызовов __ip_append_data() и ip_ufo_append_data(), а данные передаются через несколько вызовов send(), между которыми атакующий может подменить тип с UFO на не-UFO и вызвать наложение требующего фрагментации хвоста на область памяти вне границ выделенного буфера. Проблема присутствует в ядре с 18 октября 2005 года и проявляется как в стеке IPv4, … Читать далее Уязвимости в реализации сокетов AF_PACKET и UDP-стеке ядра Linux

Обновление Firefox 55.0.1 с устранением проблемы с восстановлением вкладок

Сформирован корректирующий выпуск Firefox 55.0.1, в котором устранена порция ошибок: Отключен механизма упреждающей загрузки содержимого (prefetch) из-за некорректного поведения, приводящего к отправке дублирующихся запросов к рекламным сетям; Устранено регрессивное изменение в процессе восстановления вкладок, проявляющееся в отображении пустых страниц вместо содержимого вкладок, восстановленных после перезапуска браузера; Исправлена ошибка, мешающая показу страниц «What’s new«; Устранены проблемы с отображением страниц, возникающие при использовании некоторых библиотек PKCS#11 (например, aetpkss1.dll в Windows) из-за возникновения взаимной блокировки в NSS. Читать далее Обновление Firefox 55.0.1 с устранением проблемы с восстановлением вкладок

Уязвимость в Git, Subversion и Mercurial, допускающая подстановку команд через URL ssh://

Во всех популярных системах управления версиями, которые поддерживают обращение к репозиторию через SSH, выявлена уязвимость, позволяющая выполнить любую команду в системе при попытке обработки специально оформленной ссылки «ssh://» на репозиторий. Проблема уже устранена в Git 2.7.6-2.14.1 (CVE-2017-1000117), Subversion 1.9.7 (CVE-2017-9800) и Mercurial 4.3 (CVE-2017-1000116), а также в GitHub и GitLab. Не исключено, что уязвимость проявляется и в других приложениях, использующих URL «ssh://». Интересно, что похожая уязвимость (CVE-2004-0489) была устранена в браузере Safari ещё в 2004 году. Суть уязвимости сводится к тому, что при обработке URL «ssh://» допускается использование символа «-» вначале имени хоста, что позволяет использовать это имя для передачи … Читать далее Уязвимость в Git, Subversion и Mercurial, допускающая подстановку команд через URL ssh://

Опубликован Exonum, фреймворк для создания приватных блокчейнов

Разработчики компании Bitfury Group опубликовали новый фреймворк для разработки приватных блокчейнов Exonum, который позволяет создавать свои безопасные и высокопроизводительные blockchain-решения. Exonum является полностью открытым решением, поэтому пользователям доступна не только вся библиотека кода, но и клиентское программное обеспечение для управления блокчейном. Exonum написан на языке программирования Rust, который уделяет особое внимание вопросам безопасности, не жертвуя при этом его производительностью. Код написан на языке Rust и распространяется под лицензией Apache License 2.0. Ключевые особенности: Exonum использует алгоритм византийского консенсуса, который не требует больших вычислительных затрат для генерации блоков и гарантирует безопасность данных даже в случае выхода узлов из строя из-за неисправности … Читать далее Опубликован Exonum, фреймворк для создания приватных блокчейнов

Браузер QupZilla меняет имя и переходит под крыло проекта KDE

Разработчики многоплатформенного web-браузера QupZilla, построенного с использованием библиотеки Qt и модуля QtWebEngine, основанного на браузерном движке Blink и элементах Chromium, сообщили о переводе разработки в экосистему KDE и дальнейшем развитии продукта в соответствии с принципами KDE. Разработка QupZilla будет переведена с GitHub в инфраструктуру KDE и будет вестись с использованием штатного репозитория, системы непрерывной интеграции, платформы локализации и системы отслеживания ошибок KDE. В настоящее время браузер уже добавлен в инкубатор проекта KDE. Переход под крыло KDE не повлияет на цели развития QupZilla — поддержки всех текущих платформ будет продолжена и проект ограничится использованием компонентов фреймворка Qt, без добавления в обязательные … Читать далее Браузер QupZilla меняет имя и переходит под крыло проекта KDE

Проект Mono развивает средства для выполнения проектов на C# в браузере

Мигель де Икаса (Miguel De Icaza) рассказал об экспериментах в области адаптации платформы Mono для компиляции кода на языке C# в промежуточное представление WebAssembly для последующего запуска приложений в web-браузере. Пользователям предложено два прототипа: Первый вариант основан на применении традиционной статической компиляции пользовательского приложения вместе с runtime-компонентами и библиотеками классов Mono. На выходе получается одно большое приложение, статически скомпилированное в формат WebAssembly, пригодный для запуска в браузере. Второй вариант основан на компиляции в WebAssembly только runtime-компонентов Mono и интерпретатора промежуточного представления Mono. Данный подход позволяет существенно сократить размер загружаемых в браузер данных, но ценой применению универсального интерпретатора является снижение производительности. Читать далее Проект Mono развивает средства для выполнения проектов на C# в браузере

Выпуск Tcl/Tk 8.6.7

Опубликован релиз Tcl/Tk 8.6.7, динамического языка программирования, распространяемого совместно с кроссплатформенной библиотекой базовых элементов графического интерфейса. Несмотря на то, что основное распространение Tcl получил для создания интерфейсов пользователя и как встраиваемый язык, Tcl также подходит для других задач, таких как web-разработка, создание сетевых приложений, администрирование систем и тестирование. В новой версии, кроме исправления серии утечек памяти и крахов, добавлена возможность указания пространств имён для «[oo::copy]», обеспечена поддержка мультимедийных клавиш на платформе Windows, налажена обработка некорректных последовательностей в «Tcl_UtfToUniChar()», пересмотрены ограничения по использованию определённых префиксов в Tcl_LinkVar, обеспечена компиляция некоторых подкоманд «[clock]» в байткод, разрешено совместное использование «[clock]» и «[encoding]». Читать далее Выпуск Tcl/Tk 8.6.7

Доступен дистрибутив OSGeo-Live 11.0 с подборкой геоинформационных систем

Представлен переработанный выпуск дистрибутива OSGeo-Live, развиваемого некоммерческой организацией OSGeo с целью предоставления возможности быстрого знакомства с различными открытыми геоинформационными системами, без необходимости их установки. Дистрибутив построен на пакетной базе Lubuntu. Размер загрузочного образа — 3.7 Гб (i386, amd64, а также образ для систем виртуализации VirtualBox, VMWare, KVM и т.п.). В состав входит около 50 открытых приложений для геомоделирования, управления пространственными данными, обработки спутниковых снимков, создания карт, пространственного моделирования и визуализации. В комплект также включены свободные карты и базы данных географических объектов. Читать далее Доступен дистрибутив OSGeo-Live 11.0 с подборкой геоинформационных систем

Выпуск GnuPG 2.1.23

Доступен релиз инструментария GnuPG 2.1.23 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Напомним, что ветка GnuPG 2.1 позиционируется как развивающийся выпуск, в котором продолжают добавляться новые возможности, в ветке 2.0 допускаются только корректирующие исправления, а 1.4 является старой стабильной веткой, подходящей для устаревших систем и встраиваемых решений. Выпуск GnuPG 2.1.23 позиционируется как кандидат в релизы будущей стабильной ветки 2.2.0. Основные изменения: Инструментарий выпусков GnuPG 2.x больше не устанавливаются в систему под именем «gpg2», а использует имя «gpg»; Активировано по … Читать далее Выпуск GnuPG 2.1.23

Выпуск web-браузера Opera 47

Доступен выпуск проприетарного браузера Opera 47, основанного на кодовой базе Chromium. Сборки сформированы для платформ Linux, macOS и Windows. В новой версии продолжен перенос улучшений интерфейса, развивавшихся в рамках экспериментального браузера Opera Neon, оценивающего новые методы взаимодействия в Web. Основные изменения: Добавлена функция для экспорта всех закладок, включая содержимое экспресс-панели и панели закладок. Данные сохраняются в одном HTML-файле. В RSS-просмотрщик добавлены два дополнительные интервала для опроса новостных лент — обновление раз в три часа и раз в шесть часов; C 10 до 32 расширено число записей в списке недавно закрытых вкладок, доступных для восстановления; Устранена серия проблем, связанных с воспроизведением … Читать далее Выпуск web-браузера Opera 47

Релиз дистрибутива Tails 3.1

Состоялся релиз специализированного дистрибутива Tails (The Amnesic Incognito Live System) 3.1 основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1.2 Гб. Начиная с Tails 3 дистрибутив поставляется только в 64-разрядных сборках (формирование сборок для архитектуры i386 прекращено). В новой версии обновлены выпуски Tor Browser 7.0.4, ядра Linux 4.9.30-2+deb9u3, libtiff 4.0.8-2+deb9u1, bind9 9.10.3, evince 3.22.1-3+deb9u1 и imagemagick 6.9.7.4+dfsg-11+deb9u1 с устранением уязвимостей. Пакеты синхронизированы с выпуском Debian 9.1. Решены проблемы с оставлением остаточных данных во временной директории после выхода из почтового клиента Thunderbird. Дистрибутив Tails (The Amnesic Incognito … Читать далее Релиз дистрибутива Tails 3.1

Обновление web-браузера Tor Browser 7.0.4

Проект Tor сформировал выпуск специализированного браузера Tor Browser 7.0.4, ориентированного на обеспечение анонимности, безопасности и приватности. Новый выпуск дистрибутива Tails задерживается. Браузер построен на кодовой базе Firefox и отличается тем, что весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае компрометации браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как sandboxed-tor-browser и Whonix). Сборки Tor Browser подготовлены для Linux, Windows и macOS. Для обеспечения дополнительной защиты в состав входит дополнение HTTPS Everywhere, позволяющее … Читать далее Обновление web-браузера Tor Browser 7.0.4

В Windows Server появится подсистема для запуска исполняемых файлов Linux

Компания Microsoft объявила об интеграции в тестовую сборку Windows Server Insider Build 16237 подсистемы WSL (Windows Subsystem for Linux), которая ранее была ориентирована на поставку в клиентской Windows 10. В Windows Server добавлена аналогичная технология, в которой запуск родных исполняемых файлов Linux реализован через специальную прослойку, на лету транслирующей системные вызовы Linux в системные вызовы Windows. Для активации WSL в Windows Server Insider Build 16237 следует выполнить команду: Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Windows-Subsystem-Linux Следует отметить, что режим в WSL Windows Server не ориентирован на запуск серверных приложений и выполнение таких систем, как MySQL, PostgreSQL и sshd. WSL позволяет запускать только интерактивные … Читать далее В Windows Server появится подсистема для запуска исполняемых файлов Linux

Выпуск Wayland 1.14 и композитного сервера Weston 3.0

Представлен стабильный релиз протокола, механизма межпроцессного взаимодействия и библиотек Wayland 1.14, а также развиваемого параллельно композитного сервера Weston 3.0. Ветка Wayland 1.14 обратно совместима на уровне API и ABI с выпусками 1.x и содержит только исправления нескольких ошибок и удаление неиспользуемых полей из структуры wl_client. В Weston развиваются технологии, содействующие появлению полноценной поддержки протокола Wayland в Enlightenment, GNOME, KDE и других пользовательских окружениях. Разработка Weston нацелена на предоставление высококачественной кодовой базы и рабочих примеров для использования Wayland в десктоп-окружениях и встраиваемых решениях, таких как платформы для автомобильных информационно-развлекательных систем, смартфонов, телевизоров и прочих потребительских устройств. Смена номера версии Weston на … Читать далее Выпуск Wayland 1.14 и композитного сервера Weston 3.0

Обновление web-браузера Tor Browser 7.0.3

Проект Tor сформировал выпуск специализированного браузера Tor Browser 7.0.3, ориентированного на обеспечение анонимности, безопасности и приватности. Новый выпуск дистрибутива Tails задерживается. Браузер построен на кодовой базе Firefox и отличается тем, что весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае компрометации браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как sandboxed-tor-browser и Whonix). Сборки Tor Browser подготовлены для Linux, Windows и macOS. Для обеспечения дополнительной защиты в состав входит дополнение HTTPS Everywhere, позволяющее … Читать далее Обновление web-браузера Tor Browser 7.0.3

Релиз Firefox 55

Официально состоялся релиз web-браузера Firefox 55, а также мобильной версии Firefox 55 для платформы Android. Firefox 55 стал первым выпуском, подготовленным без формирования ветки aurora в соответствии с новым процессом разработки. В ближайшие часы ожидается обновление ветки с длительным сроком поддержки 52.3.0. В скором времени на стадию бета-тестирования перейдёт ветка Firefox 56, релиз которой намечен на 26 сентября. Основные новшества: Обеспечено мгновенное восстановление сеансов с большим числом вкладок; Вывод контекстных уточнений (suggestions) поискового запроса, вводимого в адресной строке, теперь включен по умолчанию для пользователей, которые явно не отказались от данной возможности в настройках. Ранее при вводе в адресной строке показывалась … Читать далее Релиз Firefox 55