Впервые за время проведения мероприятия Pwn2Own, участники которого демонстрируют рабочие техники эксплуатации ранее неизвестных уязвимостей, Firefox не вошёл в список призовых категорий, в которых проводятся соревнования по взлому. По словам представителя оргкомитета, в нынешнем году предпочтение отдано только браузерам, в которых за последний год вносились серьёзные улучшения в области усиления безопасности. Среди целей для проведения атак в этом году предложены: VMware Workstation, Google Chrome, Microsoft Edge, Adobe Flash и Apple Safari, вознаграждение за демонстрацию 0-day уязвимостей для которых составит $75000, $65000, $65000, $60000 и $40000, соответственно. Призовой фонд, который предоставлен компаниями Hewlett Packard Enterprise (HPE), Trend Micro и Google (Zero … Читать далее Firefox признан недостаточно защищённым для участия в соревнованиях Pwn2Own 2016

Представлен релиз мультимедийного проигрывателя MPlayer 1.3, в котором обеспечена совместимость со свежей версией мультимедиа-пакета FFmpeg 3.0. Копия нового FFmpeg включена в базовую поставку MPlayer, что позволяет обойтись без установки зависимостей при сборке. Изменения в MPlayer 1.3.0 сводятся к улучшениям, добавленным в FFmpeg 3.0, среди которых средства кодирования и декодирования защищённого контента MP4, поддержка аппаратного ускорения VP9 через VAAPI и DXVA2, новый параметрический многополосный эквалайзер, обилие новых фильтров, декодировщиков и распаковщиков медиаконтента. Подробнее об изменениях можно прочитать в анонсе FFmpeg 3.0. Из специфичных изменений отмечается добавление библиотеки libswresample (входит в FFmpeg) в число обязательных зависимостей, без которых невозможна сборка MPlayer. Читать далее Выпуск мультимедийного проигрывателя MPlayer 1.3.0

Спустя почти 10 лет с момента первого выпуска ветки 0.3 состоялся релиз новой значительной ветки операционной системы ReactOS 0.4.0, нацеленной на обеспечение совместимости с программами и драйверами Microsoft Windows. ReactOS 0.4.0 демонстрирует переход на новую стадию развития, приближая проект к формированию зрелого продукта. Размер iso-образа 98 Мб. Ключевые новшества ReactOS 0.4: Новая реализация оболочки пользователя (Explorer.exe); Полноценная поддержка USB, SATA, звуковых карт и беспроводных сетевых адаптеров; Менеджер установки приложений. Для установки доступны сборки различных приложений, в том числе AbiWord, LibreOffice, SeaMonkey, Firefox, Opera, VLC, GIMP, uTorrent, PuTTY, Thunderbird, Miranda, Qmmp, Winamp, SMplayer, Inkscape, Scribus, LibreCAD; Полноценная поддержка тем оформления для … Читать далее Релиз ReactOS 0.4.0

После полутора лет разработки доступен новый значительный релиз системы мониторинга Zabbix 3.0. Zabbix состоит из трёх базовых компонентов: сервера для координации выполнения проверок, формирования проверочных запросов и накопления статистики; агентов для осуществления проверок на стороне внешних хостов; фронтэнда для организации управления системой. Для снятия нагрузки с центрального сервера и формирования распределённой сети мониторинга может быть развёрнута серия прокси-серверов, агрегирующих данные о проверке группы хостов. Код агентов и серверной части написан на языке Си, для разработки web-интерфейса использован язык PHP, данные могут храниться в СУБД MySQL, PostgreSQL, SQLite, DB2 и Oracle. Без агентов Zabbix-сервер может получать данные по таким протоколам как … Читать далее Выпуск системы мониторинга Zabbix 3.0

Консорциум Khronos, занимающийся разработкой графических стандартов, опубликовал спецификацию Vulkan 1.0, в которой определён новый высокоэффективный API для доступа к графическим и вычислительным возможностям GPU. Одновременно компания Intel открыла исходные тексты драйвера с полной поддержкой данного API. Драйвер уже принят в кодовую базу проекта Mesa и войдёт в состав следующего релиза Mesa 11.3. Драйверы с поддержкой Vulkan также выпустили компании AMD, NVIDIA, Qualcomm и Imagination. Для разработки игры и приложений, использующих API Vulkan, компания Valve опубликовала SDK для Linux и Windows, а Google подготовил SDK для Android. Компания Qt Company объявила о вхождении в консорциум Khronos и работе над поддержкой Vulkan … Читать далее Опубликованы графический API Vulkan 1.0 и открытый драйвер с его поддержкой

Исследователи безопасности из компаний Google и Red Hat выявили опасную уязвимость (СVE-2015-7547) в системной библиотеке Glibc. Уязвимость проявляется при вызове функции getaddrinfo() и может привести к выполнению кода в системе в случае возврата DNS-сервером специально оформленного ответа, который может быть сформирован злоумышленником в результате MITM-атаки, при получении контроля над DNS-сервером, отвечающим за отдачу запрошенной DNS-зоны, или через организацию резолвинга имени, за обработку которого отвечает DNS-сервер атакующих. Проблема вызвана переполнением буфера в NSS-модуле nss_dns, которое присутствует в обработчиках запросов как по UDP (send_dg), так и по TCP (send_vc). Уязвимость проявляется при вызове функции getaddrinfo в режимах AF_UNSPEC или AF_INET6, использование которых … Читать далее Удалённо эксплуатируемая уязвимость в Glibc

Продемонстрировано несколько макетов с предложениями по дальнейшему развитию интерфейса Firefox: Режим Activity Stream, позволяющий просмотреть историю открытых вкладок, информацию об используемых закладках и данные о загрузках с использованием шкалы времени, в хронологическом порядке показывающей эскизы контента, открытого за последние 48 часов. Модернизированное оформление страницы, отображаемой при открытии новой вкладки. В дополнение к ранее выводимых пиктограмм частопосещаемых ресурсов добавлены две новые панели: недавно открытые сайты и Spotlight — рекомендованный контент, который может быть интересен пользователю (браузер сам формирует подборку источников в зависимости от выбранной тематики и производит фильтрацию популярного и востребованного контента); Расширенное меню для обмена информацией с другими пользователями, позволяющее … Читать далее Макеты с новыми предложениями по развитию интерфейса Firefox

Разработчики проекта Debian включили в состав дистрибутива пакет tails-installer, предоставляющий графический интерфейс для установки и обновления Live-окружения с дистрибутивом Tails (The Amnesic Incognito Live System), построенном на пакетной базе Debian и предназначенном для обеспечения анонимного выхода в сеть. Установка может быть произведена на произвольный USB-накопитель, для этого достаточно загрузить штатный iso-образ Tails и нажать одну кнопку в инсталляторе. Кроме того, инсталлятор предоставляет средства для создания на USB-накопителе шифрованных разделов для постоянного хранения настроек и данных, используемых при работе с дистрибутивом. Ожидается, что наличие подобного инсталлятора в штатной поставке Debian упростит начало работы с Tails для неквалифицированных пользователей, которые испытывают трудности … Читать далее Инсталлятор дистрибутива Tails включён в поставку Debian

В 2014 году компания NVIDIA ввела в практику проверку по цифровой подписи прошивок графического ускорителя. Работа без снабжённых цифровой подписью прошивок была сохранена, но доступная в таких условиях функциональность была существенно урезана, например, был закрыт доступ к средствам ускорения 3D-операций. Вчера компания NVIDIA сделала большой шаг навстречу открытых драйверов и опубликовала специальный вариант заверенной цифровой подписью прошивки для GPU на базе микроархитектуры Maxwell, нацеленный на использования в открытых 3D-драйверах. Прошивки подготовлены для GPU GM200/GM204, используемых в видеокартах серии GeForce GTX 900, и снабжены лицензией, позволяющей включить их в набор прошивок, поставляемых вместе с ядром Linux (linux-firmware), и обеспечить их поставку … Читать далее NVIDIA опубликовала прошивки для включения 3D-ускорения в открытых драйверах

Компания Jetbrains, развивающая интегрированную среду разработки IntelliJ IDEA, представила первый значительный релиз объектно-ориентированного языка программирования Kotlin 1.0, позволяющего создавать приложения, скомпилированные для последующего выполнения внутри стандартной виртуальной машины Java (JVM) или Android. Дополнительно поддерживается преобразование программ в JavaScript-представление для запуска внутри браузера, но данная функциональность пока отнесена к экспериментальным возможностям. Выпуск 1.0 позиционируется как первый выпуск, готовый для промышленного применения. Все дальнейшие обновления будут выпускаться с учётом сохранения обратной совместимости. Исходные тексты открыты под лицензией Apache 2.0. Плагины с поддержкой Kotlin подготовлены для интегрированных сред разработки IntelliJ IDEA, Eclipse и Android Studio. Из систем сборки поддерживаются Maven, Gradle и Ant. … Читать далее Релиз Kotlin 1.0, языка программирования для JVM и Android

Разработчик из Cisco Talos обнаружил несколько уязвимостей (CVE-2016-1521, CVE-2016-1522, CVE-2016-1523, CVE-2016-1526) в библиотеке обработки шрифтов Graphite2, которая используется в большом количестве открытых приложений. Уязвимыми на данный момент являются Mozilla Firefox 38 ESR, OpenOffice и другие программы, использующие библиотеку. Уязвимости проявляются при обработке средствами библиотеки специально подготовленного Graphite-шрифта. Две наиболее опасные проблемы приводят выходу за пределы границы буфера, что в теории позволяет атакующему выполнить произвольный код и получить доступ к системе под правами пользователя, запускающего приложение. Наличие узявимости подтверждено в Libgraphite 2 1.2.4, ветка 1.3.x проблемам не подвержена. Уязвимости исправлены в Firefox ESR 38.6.1 (Firefox 43 и 44 использует ветку ibgraphite … Читать далее Уязвимость в библиотеке обработки шрифтов Libgraphite

После пяти месяцев разработки представлен мультимедиа-пакет FFmpeg 3.0, включающий набор приложений и коллекцию библиотек для операций над различными мультимедиа-форматами (запись, преобразование и декодирование звуковых и видеоформатов). Кроме изменений, созданных внутри проекта, в новую версию также включены все последние наработки, развиваемые в ветках ffmpeg-mt (многопоточное декодирование) и libav (форк FFmpeg). Пакет распространяется под лицензиями LGPL и GPL, разработка FFmpeg ведётся смежно с проектом MPlayer. Из изменений, добавленных в FFmpeg 3.0, можно выделить: Поддержка кодирования и декодирования защищённого контента MP4, соответствующего требованиям стандарта шифрования MPEG-CENC (Common Encryption), используемого в системах DRM; Поддержка аппаратного ускорения VP9 через VAAPI и при помощи DXVA2; Добавлен … Читать далее Выпуск мультимедиа-пакета FFmpeg 3.0

После двух с половиной лет разработки компания Canonical представила релиз новой стабильной ветки распределенной системы управления версиями Bazaar 2.7.0. Bazaar 2.7.x позиционируется как новая стабильная ветка с длительным сроком поддержки, выпуск обновлений для которой будет выпускаться в течение 5 лет (в составе Ubuntu 16.04). Так как проект Bazaar находится в состоянии стагнации список изменений достаточно скромен и включает 20 исправлений, расширение тестового набора и одно улучшение — возможность возвращения вызовом bzrlib.patches.parse_patches списка заголовков патча, которые снабжены префиксом «===». Bazaar 2.7 является последним выпуском, поддерживающим Python 2.6. Система Bazaar написана на языке Python и обладает следующими особенностями: Высокая гибкость как при … Читать далее Выпущена система управления версиями Bazaar 2.7.0

Доступен второй бета-выпуск FreeBSD 10.3. Выпуск FreeBSD 10.3-BETA2 подготовлен для архитектур amd64, i386, powerpc, powerpc64, sparc64 и armv6 (BEAGLEBONE, CUBOX-HUMMINGBOARD, GUMSTIX, PANDABOARD, RPI-B, WANDBOARD). Дополнительно подготовлены образы для систем виртуализации (QCOW2, VHD, VMDK, raw) и облачных окружений Amazon EC2 и Microsoft Azure. Релиз FreeBSD 10.3 запланирован на 22 марта. 27 июля ожидается релиз FreeBSD 11. По сравнению с первым бета-выпуском можно отметить следующие изменения: OpenSSH обновлён до версии 7.1p2; В tty(4) запрещено открытие callout-устройства при уже открытом устройстве callin; По умолчанию для ntpd установлен файл с настройками по подстановке лишних секунд для синхронизации с астрономическим временем Земли; Обновлён UEFI-загрузчик ZFS, … Читать далее Второй бета-выпуск FreeBSD 10.3

Представлен выпуск свободного пакета для верстки документов Scribus 1.5.1. Scribus предоставляет средства для профессиональной верстки печатных материалов, включая гибкие инструменты для генерации PDF и поддержку работы с раздельными цветовыми профилями, CMYK, плашечными цветами и ICC. Система написана с использованием тулкита Qt и поставляется под лицензией GPLv2+. Готовые пакеты подготовлены для платформ Linux (Debian/Ubuntu, Fedora, openSUSE), Haiku, OS X и Windows. Ветка 1.5 позиционируется как экспериментальная и включает такие возможности как новый интерфейс пользователя на базе Qt5, изменённый файловый формат, полная поддержка таблиц и расширенные средства обработки текста. Выпуск 1.5.1 отмечается как хорошо протестированный и достаточно надёжный. После проведения окончательной стабилизации … Читать далее Выпуск свободного издательского пакета Scribus 1.5.1

Фонд Wikimedia раскрыл детали соглашения о предоставлении целевого гранта на разработку нового поискового движка Knowledge Engine. На первый этап разработки Фондом поддержки журналистской деятельности Knight Foundation предоставлен грант в размере 250 тысяч долларов. Общий размер затрат в рамках первого этапа развития проекта оценен в 2.4 млн долларов (всего планируется 4 этапа). До сих пор вопрос разработки нового проекта вёлся среди сотрудников Wikimedia, но в феврале было решено привлечь к обсуждению более широкие массы из сообщества. В сообществе инициатива по разработке нового поискового механизма вызвала неоднозначную реакцию, как одобрение (проекту нехватает качественной поисковой системы для связывания данных в сервисах Wikimedia), так … Читать далее Wikimedia работает над созданием собственной поисковой системы

Тестирование работы Firefox в многопроцессном режиме с одним выделенным процессом обработки контента (предлагается по умолчанию) показало возрастание потребления памяти в среднем на 10-20%, в сравнении с работой Firefox в обычном однопроцессном режиме, при котором контент и интерфейс обрабатываются одним и тем же процессом. При увеличении числа дополнительных процессов обработки контента увеличение потребление памяти может достигать двух раз при 8 обработчиках контента и сильно зависит от числа открытых вкладок, типа контента и установленных дополнений. С дугой стороны, чем больше процессов-обработчиков, тем эффективнее возвращается память системе после закрытия вкладок. При проведении текста в браузере открывалось 100 типовых URL в 30 вкладках с … Читать далее Изучение изменения потребления памяти Firefox в многопроцессном режиме

Доступен релиз проекта VeraCrypt 1.17, в рамках которого развивается форк системы шифрования дисковых разделов TrueCrypt, прекратившей своё существование. VeraCrypt примечателен заменой используемого в TrueCrypt алгоритма RIPEMD-160 на SHA-512 и SHA-256, увеличением числа итераций хэширования, упрощением процесса сборки для Linux и OS X, устранением проблем, выявленных в процессе аудита исходных текстов TrueCrypt. При этом, VeraCrypt предоставляет режим совместимости с разделами TrueCrypt и содержит средства для преобразования TrueCrypt-разделов в формат VeraCrypt. Код VeraCrypt поставляется под лицензией Apache 2.0. Основные изменения: Поддержка использования Unicode-символов в паролях; Внесены оптимизации, позволившие наполовину сократить время монтирования и загрузки; В реализации Whirlpool PRF некоторые критичные к производительности … Читать далее Релиз VeraCrypt 1.17, форка TrueCrypt

Состоялся выпуск утилиты Firejail 0.9.38, предоставляющей средства для снижения риска компрометации системы при запуске не заслуживающих доверия приложений. Firejail запускает приложения в режиме sandbox-изоляции, формируемом при помощи механизма пространств имён (namespaces) и фильтрации системных вызовов (seccomp-bpf) в Linux. Утилита оформлена в виде исполняемого SUID-файла, который может использоваться в качестве прослойки для запуска различных консольных, серверных и графических приложений. Профили изоляции системных вызовов подготовлены для большого числа популярных приложений, в том числе для Firefox, Chromium, VLC и Transmission. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые … Читать далее Выпуск Firejail 0.9.38, инструмента для изоляции приложений

Мэтью Чепмен (Matthew Chapman), основатель проекта rdesktop, был поставлен в тупик, столкнувшись с искусственными ограничениями по использованию неоригинальных аккумуляторов в ноутбуках Lenovo. Собираясь в поездку Мэтью купил новый аккумулятор для своего ноутбука ThinkPad X230T, который уже не мог работать в автономном режиме более 10 минут. Аккумулятор подошёл, но при загрузке было выведено предупреждение, что он не является оригинальной комплектующей и поэтому могут возникнуть проблемы с его зарядкой. На деле аккумулятор действительно не заряжался и это ограничение было активировано искусственно на уровне контроллера, чтобы стимулировать покупку оригинальных деталей от компании Lenovo. Проблема была в том, что для данного ноутбука выпуск оригинальных … Читать далее Обход искусственной привязки аккумуляторов в ноутбуках Lenovo

В межсетевых экранах Cisco ASA выявлена критическая уязвимость (CVE-2016-1287), позволяющая неаутентифицированному внешнему злоумышленнику инициировать перезагрузку устройства или выполнить свой код в системе. Проблема вызвана переполнением буфера в реализации протоколов IKE (Internet Key Exchangeversion), которое может быть эксплуатировано отправкой специально оформленного UDP-пакета. В результате атаки злоумышленник может получить полный контроль над устройством. Уязвимость присутствует в сериях Cisco ASA 5500, Cisco ASA 5500-X, Cisco ASA Services Module для Cisco Catalyst 6500/7600, Cisco ASA 1000V, Cisco ASAv, Cisco Firepower 9300 ASA и Cisco ISA 3000. Проблема проявляется только если в устройствах включена обработка VPN-соединений с использованием протоколов IKEv1 или IKEv2, например, поднят LAN-to-LAN … Читать далее Серьезная уязвимость в межсетевых экранах Cisco ASA