Во всех поддерживаемых ветках FreeBSD выявлены уязвимости, проявляющиеся при использовании протокола SCTP. Первая уязвимость (CVE-2014-8612) вызвана ошибкой в коде проверки идентификатора потока SCTP и позволяет локальному непривилегированному пользователю записать или прочитать 16 бит данных памяти ядра. Потенциально проблема может быть использована для повышения локальным пользователем своих привилегий в системе. Вторая уязвимость (CVE-2014-8613) связана с возможностью инициирования разыменования нулевого указателя при обработке полученного извне SCTP-пакета. Проблема может быть использована для удалённого вызова краха ядра через отправку на систему специально оформленных пакетов. Во FreeBSD 10.1 защититься от проявления уязвимости можно запретив обработку блоков RE_CONFIG через установку sysctl-переменной net.inet.sctp.reconfig_enable в 0. Проблема также … Читать далее Во FreeBSD устранены опасные уязвимости в реализации протокола SCTP

Проект GNU представил новый выпуск web-браузера IceCat 31.4.0. Браузер построен на кодовой базе Firefox 31.4.0 ESR, приведённой в соответствие с требованиями к полностью свободному ПО. В частности, удалены несвободные компоненты, заменены элементы оформления, прекращено использование зарегистрированных торговых марок, отключен поиск несвободных плагинов и дополнений, интегрированы дополнения, направленные на усиления приватности. В базовую поставку входят дополнения LibreJS для блокирования обработки несвободного JavaScript-кода, HTTPS Everywhere для использования шифрования трафика на всех сайтах где это возможно и Spyblock (основан на AdblockPlus) для блокирования рекламы и реализации приватного режима просмотра в котором загрузка ресурсов разрешена только с текущего сайта. В качестве поисковой системы по … Читать далее Выпуск web-браузера GNU IceCat 31.4.0

Разработчики из проекта Mozilla представили новый API, позволяющий использовать протокол Wi-Fi Direct для организации прямого соединения между собой устройств на базе платформы Firefox OS, без подключения к глобальной сети или беспроводным точкам доступа. Из приложений, уже использующих Wi-Fi Direct API, отмечена программа для обмена файлами Firedrop и игра Wi-Fi Columns. Читать далее В Firefox OS появилась поддержка P2P-связи с использованием Wi-Fi Direct

Разработчики Mozilla сообщили о переходе к второй фазе прекращения поддержки сертификатов на основе 1024-разрядных ключей RSA, безопасность которых в ближайшем будущем находится под вопросом, с учётом роста вычислительной мощности современных компьютерных систем. Начиная с запланированного на 24 февраля выпуска Firefox 36 подобные сертификаты будут исключены из списка заслуживающих доверия корневых сертификатов, а связанные с ними цепочной доверия сайты будут помечены как незащищённые. В частности, будет удалён один корневой сертификат Verizon и четыре сертификата Symantec. Небезопасными также будут помечены сайты, сертификаты которых основаны на 1024-разрядных ключах RSA. Владельцам подобных сайтов следует пересоздать сертификат с ключом, размером 2048 бит. Проведённое в сентябре … Читать далее В Firefox 36 будет прекращена поддержка сертификатов на основе 1024-разрядных ключей RSA

Компания Google представила релиз операционной системы Chrome OS 40, основанной на ядре Linux, открытых компонентах и web-браузере Chrome. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Сборка Chrome OS 40 доступна для всех актуальных моделей Chromebook. Основные изменения: Модернизировано оформление меню выбора приложений. Представлено приложение для быстрого доступа к коллекции смайликов (вызывается через Cmd+Ctrl+Space); Добавлена возможность синхронизации установленных пользователем обоев рабочего стола и настроек беспроводной сети между разными устройствами; По умолчанию предлагаются обои рабочего стола, оформленные в стиле концепции Material … Читать далее Доступна операционная система Chrome OS 40

В рамках инициативы Polaris, нацеленной на развитие средств для сохранения частной жизни пользователей, проект Mozilla ввёл в строй 12 собственных узлов анонимной сети Tor. Запущенные узлы являются первым шагом на пути к созданию высокопроизводительной фермы узлов Tor, поддерживаемых силами Mozilla и нацеленных на повышение пропускной способности сети Tor в свете будущего роста числа пользователей, ожидаемого в случае интеграции поддержи Tor в Firefox. Узлы запущены на отдельном оборудовании и не пересекаются с серверной инфраструктурой, обеспечивающей поддержание продуктов Mozilla. Для выхода Tor-узлов в глобальную сеть выделено два канала с пропускной способностью 10Gbps. Читать далее Проект Mozilla экспериментирует с развёртыванием узлов Tor

В системной библиотеке Glibc выявлена критическая уязвимость (CVE-2015-0235), которая может использоваться для организации выполнения кода в системе и проявляется при обработке специально оформленных данных в функциях gethostbyname() и gethostbyname2(), которые используются во многих программах для преобразования имени хоста в IP-адрес. По степени опасности уязвимость, которая получила кодовое имя GHOST, сравнима с уязвимостями в Bash и OpenSSL. Для демонстрации уязвимости подготовлен рабочий прототип эксплоита, позволяющий организовать удалённое выполнение кода на почтовом сервере Exim, обойдя все доступные механизмы дополнительной защиты (ASLR, PIE, NX) на 32- и 64-разрядных системах. Проблема вызвана переполнением буфера в функции __nss_hostname_digits_dots(), используемой в gethostbyname() и gethostbyname2(). Несмотря на … Читать далее Критическая уязвимость в Glibc, которая может привести к удалённому выполнению кода в Linux

Компания Google сообщила о переходе видеохостинга YouTube на повсеместное отображение видео с использованием HTML5-проигрывателя, построенного с использованием тега «video». По умолчанию HTML5-проигрыватель теперь задействован для браузеров Chrome, IE 11, Safari 8 и бета-выпусков Firefox. Одновременно объявлено о переводе в разряд устаревших методов встраивания YouTube-контента на страницы при помощи блоков object и Flash API. Для встраивания видео рекомендуется использовать только iframe API. HTML5-плеер был представлен пять лет назад, в качестве альтернативы проигрывателю, основанному на технологии Flash. В то время HTML5-проиргыватель не мог конкурировать с кодом Flash, так как он не мог обеспечить некоторые важные функции, такие как адаптивное изменение битрейта в … Читать далее YouTube перешёл по умолчанию на HTML5-проигрыватель видео

В представленном сегодня выпуске KDE Plasma 5.2 устранены две уязвимости в реализации системы блокирования экрана. Первая уязвимость (CVE-2015-1307) затрагивает использованный в экране блокировки интерфейс на основе QtQuick и позволяет организовать отправку на удалённый сервер информации об учётной записи при подключении пользователем специально подготовленных файлов смены оформления экрана блокировки. В частности, злоумышленник может подготовить пакет Look and Feel, использующий возможности QtQuick для сбора данных о вводимых паролях и их отправки на внешний сервер по сети. Эксплуатация уязвимости затруднена из-за отсутствия механизма установки непроверенных пакетов оформления из интернета. Вторая уязвимость (CVE-2015-1308) проявляется не только в plasma-workspace, но и в kde-workspace, и позволяет … Читать далее В KDE устранены две уязвимости в системе блокировки экрана

Доступен выпуск свободного антивирусного пакета ClamAV 0.98.6, в котором отмечены в основном исправления ошибок. Решены проблемы с установкой в OS X и FreeBSD, обеспечена совместимость c systemd схемы хранения pid. Устранено несколько потенциальных уязвимостией, вызванных переполнением буфера при обработке специально оформленных данных в форматах Yoda crypter, mew, upx, upack и petite. Читать далее Выпуск свободного антивирусного пакета ClamAV 0.98.6

Проект VideoLAN представил новые выпуски свободных библиотек libbluray 0.7.0, libbdplus 0.1.2 и libaacs 0.8.0. Библиотеки соблюдают требования DRM (Digital rights management), не содержат ключей и не реализуют способы для обхода коммерческих методов защиты, поэтому для проигрывания защищенных с использованием технологий AACS и BD+ дисков требуется задействование дополнительных компонентов (ключи, сертификаты, файлы конфигурации). Код библиотек распространяется под лицензией LGPLv2.1. Поддерживается работа на платформах GNU/Linux, Windows и OS X. libbluray — библиотека для интеграции в приложения функций по проигрыванию дисков в формате Blu-Ray. Кроме базовых функций библиотека поддерживает такие возможности, как навигацию, парсинг списка воспроизведения, работу с меню и поддержку BD-J. В … Читать далее Проект VideoLAN выпустил обновление свободных библиотек для поддержки Blu-Ray

Представлен выпуск браузера Opera 27, который доступен для платформ Linux, OS X и Windows. Это второй стабильный выпуск основанной на кодовой базе Chromium ветки Opera, в котором реализована поддержка Linux. Из добавленных в Opera 27 новшеств можно отметить появление навигационной панели, размещённой в нижней части экрана и позволяющей при открытии пустой вкладки переключаться между экспресс-панелью, закладками и панелью Discover. Возвращена функция отображения эскизов содержимого каждой вкладки при перемещения курсора по списку открытых вкладок. Кроме того, в новом выпуске пользователям будет предложено перейти на Flash-плагин, построенный на базе интерфейса PPAPI (Pepper Plugin API). Читать далее Выпуск браузера Opera 27

В системной библиотеке Glibc выявлена критическая уязвимость (CVE-2015-0235), которая может использоваться для организации выполнения кода в системе и проявляется при обработке специально оформленных данных в функциях gethostbyname() и gethostbyname2(), которые используются во многих программах для преобразования имени хоста в IP-адрес. По степени опасности уязвимость, которая получила кодовое имя GHOST, сравнима с уязвимостями в Bash и OpenSSL. Для демонстрации уязвимости подготовлен рабочий прототип эксплоита, позволяющий организовать удалённое выполнение кода на почтовом сервере Exim, обойдя все доступные механизмы дополнительной защиты (ASLR, PIE, NX) на 32- и 64-разрядных системах. Проблема вызвана переполнением буфера в функции __nss_hostname_digits_dots(), используемой в gethostbyname() и gethostbyname2(). Несмотря на … Читать далее Критическая уязвимость в Glibc, которая может привести к удалённому выполнению кода

В представленном сегодня выпуске KDE Plasma 5.2 устранены две уязвимости в реализации системы блокирования экрана. Первая уязвимость (CVE-2015-1307) затрагивает использованный в экране блокировки интерфейс на основе QtQuick и позволяет организовать отправку на удалённый сервер информации об учётной записи при подключении пользователем специально подготовленных файлов смены оформления экрана блокировки. В частности, злоумышленник может подготовить пакет Look and Feel, использующий возможности QtQuick для сбора данных о вводимых паролях и их отправки на внешний сервер по сети. Эксплуатация уязвимости затруднена из-за отсутствия механизма установки непроверенных пакетов оформления из интернета. Вторая уязвимость (CVE-2015-1308) проявляется не только в plasma-workspace, но и в kde-workspace, и позволяет … Читать далее В KDE устранены две уязвимости в системе блокировку экрана

Йон фон Течнер (Jon von Tetzchner), сооснователь и бывший руководитель Opera Software, покинувший компанию в 2011 году и основавший новую фирму Vivaldi Technologies, представил первый предварительный выпуск web-браузера Vivaldi. Сборки Vivaldi подготовлены для Linux (deb и rpm, x86_64, 40 Мб), Windows и OS X. Браузер построен с использованием web-движка Chromium 40. Из зависимостей можно отметить Cairo, Pango, GTK2+, wget, libxrender, ffmpeg, libxrandr2. Для работы Flash в Linux используется плагин «pepperflashplugin-nonfree», выделенный из Chrome. Интерфейс написан на языке JavaScript с использованием библиотеки React, платформы Node.js, Browserify и различных готовых NPM-модулей. По своему характеру Vivaldi во многом напоминает классический браузер Opera и … Читать далее Основатель Opera Software представил новый web-браузер Vivaldi

Представлен релиз пользовательской оболочки Plasma 5.2. Окружение Plasma 5 примечательно унификацией режимов работы интерфейса, использованием платформы KDE Frameworks 5 и библиотеки Qt 5, применением OpenGL/OpenGL ES для ускорения отрисовки. С особенностями Plasma 5 можно познакомиться в анонсах первого и второго выпусков. Оценить новый выпуск в работе можно через Live-сборку от проекта Kubuntu, пакеты для различных дистрибутивов можно найти на данной странице. Ключевые улучшения: Для организации входа и переключения между сеансами задействован дисплейный менеджер SDDM (Simple Desktop Display Manager). Для SDDM разработчиками KDE подготовлена стилизованная под Plasma 5 тема оформления, а в конфигуратор KDE добавлен модуль для настройки SDDM. SDDM написан … Читать далее Выпуск пользовательской оболочки KDE Plasma 5.2

В ночные сборки Firefox приняты наработки проекта MozVR, в рамках которого развивается Web VR API, предназначенный для использования шлемов виртуальной реальности в web-приложениях и на сайтах. При помощи Web VR API разработчики могут воплотить в жизнь новые методы взаимодействия с пользователем и развивать новые техники 3D-навигации по сайтам. Интеграция с оборудованием выполнена через специальное дополнение, которое пока доступно только для устройств Oculus Rift. Работа над интеграцией поддержки Web VR ведётся не только для настольной версии Firefox, но и для Firefox for Android и Chromium. Предложенный Web VR API позволяет организовать отображение в 3D-шлеме контента, сформированного с использованием специальных VR-расширений WebGL. … Читать далее В ночные сборки Firefox добавлен API для 3D-шлемов и изоляция NPAPI-плагинов

Проект CoreOS, развивающий основанное идеях контейнерной изоляции серверное окружение, представил второй выпуск инструментария Rocket и спецификации App Container. Rocket позиционируется как более безопасная, переносимая и адаптированная для серверного применения альтернатива инструментарию Docker. Спецификация App Container определяет универсальный и переносимый формат контейнеров. С основными отличиями Rocket от Docker можно познакомиться в анонсе первого выпуска данной системы. В новом выпуске по умолчанию включена проверка целостности контейнеров по цифровой подписи при выполнении команд «rkt fetch» и «rkt run». Добавлены новые команды: «rkt enter» для подключения к пространству имён (namespace) приложения в контейнере, «rkt status» для оценки состояния контейнера и приложений в нём, «rkt … Читать далее Выпуск Rocket 0.2, конкурирующего с Docker инструментария управления контейнерами

Дистрибутив Arch Linux объявил об обновлении набора приложений KDE до выпуска KDE Applications 14.12, в котором осуществлён переход на KDE Frameworks 5 и Qt 5. Так как не все программы KDE портированы на KDE Frameworks 5 и Qt 5, в репозитории оставлены и приложения, поддерживающие работу только с Qt 4. Таким образом, после перехода на KDE Applications 14.12 в дистрибутиве будут присутствовать как пакеты на базе Qt5, так и пакеты, использующие Qt4, что может привести к некоторым различиям в оформлении программ. Оставшиеся приложения на базе Qt4 будут постепенно заменяться, по мере появления стабильных портов на Qt 5. Пользователям также рекомендован … Читать далее Arch Linux переводит программы KDE на KDE Framework и Qt 5

Представлено обновление многоплатформенного web-браузера QupZilla 1.8.6, построенного с использованием библиотеки Qt и браузерного движка WebKit (QtWebKit). Основной целью проекта QupZilla является создание полнофункционального браузера, поддерживающего лучшие возможности Firefox, Opera и Chrome, но потребляющего при этом значительно меньше ресурсов. Первостепенное внимание уделяется экономии потребления памяти, обеспечению высокого быстродействия и поддержанию отзывчивости интерфейса. Исходные тексты QupZilla распространяются под лицензией GPLv3. Бинарные сборки доступны для большинства дистрибутивов Linux, а также для Windows, OS/2 и Haiku OS. В новом выпуске в состав включены плагины TabManager и FlashCookieManager, добавлена горячая клавиша Ctrl+L для быстрой очистки списка загрузок, обеспечена возможность закрытия менеджера загрузок и окна просмотра … Читать далее Выпуск web-браузера QupZilla 1.8.6

Доступно корректирующее обновление web-браузера Firefox 35.0.1, к котором исправлена достаточно большая порция ошибок. Среди устранённых проблем: крах при использовании дополнения Enhanced Steam, крах при запуске, неработоспособность аутентификации Kerberos при использовании псевдонимов, ошибки рендеринга анимации SVG / CSS на openstreetmap.org и подобных сайтах, крах в web-почте Godaddy, проблемы с обновлением содержимого document.baseURI при удалении из DOM тега base на сайтах с CSP (Content Security Policy), изменение поведения CSP в отношении чувствительности к регистру символов при загрузке ресурсов. Читать далее Обновление Firefox 35.0.1