Группа исследователей из Национального института стандартов и технологий США (NIST), университета Карнеги — Меллон и университета штата Пенсильвания провели любопытный эксперимент, целью которого была оценка, насколько алчность пользователей преобладает над здравым смыслом в вопросах компьютерной безопасности и сколько нужно заплатить, чтобы пользователь добровольно запустил потенциально вредоносное ПО. Авторы эксперимента предлагали заплатить пользователю небольшую сумму в обмен на то, что он запустит на своём компьютере предлагаемую для загрузки программу и введёт в ней специальный код активации. При этом на странице загрузки специально не было сказано, что именно делает программа и не предоставлена возможность понять, что программа безобидна. Всего с предложением ознакомилось … Читать далее Оценка склонности пользователей к запуску потенциально вредоносных программ за деньги

Анонсирован первый стабильный выпуск PyPy3 2.3.1, реализации языка Python, написанной на языке Python (используется статически типизированное подмножество RPython, Restricted Python). Ветка PyPy3 развивается синхронно с PyPy и отличается поддержкой Python 3. В частности, если выпуск PyPy 2.3.1 обеспечивает поддержку языка Python 2.7.6, то PyPy3 2.3.1 представляет собой реализацию Python 3.2.5. Выпуск доступен для x86-систем Linux 32/64, Mac OS X 64 и Windows 32, а также для систем на базе архитектуры ARM (ARMv6 или ARMv7 с VFPv3). Особенностью PyPy является использование JIT-компилятора, на лету транслирующего некоторые элементы в машинный код, что позволяет обеспечить высокий уровень производительности — при выполнении некоторых операций … Читать далее Первый стабильный выпуск PyPy3 с поддержкой Python 3

Спустя восемь месяцев с момента выхода ветки 3.0 доступен первый корректирующий выпуск кроссплатформенного тулкита wxWidgets 3.0.1, позволяющего создавать графические интерфейсы для Linux, Windows, OS X, UNIX и мобильных платформ. Выпуск полностью совместим с wxWidgets 3.0.0 на уровне API и ABI и содержит более сотни исправлений важных недоработок и ошибок. Кроме того, в новой версии значительно ускорено отображение таблиц в wxHTML, добавлена возможность загрузки ICO-файлов с данными в формате PNG, в wxGTK заработала прокрутка колесом мыши в компоненте wxListCtrl, улучшена обработка прозрачности, устранены утечки памяти, включены файлы проектов для сборки в Visual Studio 2012 и 2013. Тулкит написан на языке С++ … Читать далее Релиз графического тулкита wxWidgets 3.0.1

Компания Google опубликовала репозиторий с исходными текстами проекта BoringSSL, в рамках которого ведётся разработка независимого форка OpenSSL. Проект включает наработки, которые уже используется в Google для усиления безопасности OpenSSL. За годы в Google создано большое число патчей к OpenSSL, около 70 из которых не были приняты в основной состав OpenSSL, так как они носили экспериментальный характер или приводили к нарушению API или ABI. Теперь эти патчи легли в основу проекта BoringSSL. Разработку BoringSSL возглавил Адам Лэнгли (Adam Langley, agl), известный эксперт по компьютерной безопасности, отвечающий в Google за обеспечение работы инфраструктуры доступа по HTTPS и сетевой стек Chrome. Развитию BoringSSL … Читать далее Компания Google представила BoringSSL, форк OpenSSL

Предствлен промежуточный выпуск Linux-дистрибутива Mageia 4.1, в рамках которого независимым сообществом энтузиастов развивается форк проекта Mandriva. Для загрузки доступны 32- и 64-разрядные DVD-сборки (3.6 Гб), универсальная DVD-сборка (1 Гб), минималистичный образ для установки по сети (40 Мб) и набор Live-сборок на базе GNOME и KDE с различными наборами локализации. Версия 4.1 позиционируется как корректирующее обновление ISO-образов, содержащие исправления ошибок и уязвимостей. В частности, устранена уязвимость Heartbleed в OpenSSL и исправлена неприятная ошибка в загрузчике syslinux, мешающая установке с DVD на некоторых устаревших компьютерах. Обновлены версии драйверов и некоторых приложений, таких как Libreoffice и Firefox. Использование Mageia 4.1 актуально только для … Читать далее Выпуск дистрибутива Mageia 4.1

Верховный суд США в судебном разбирательстве «Alice Corp. против CLS Bank International» признал (PDF) недействительность патентования абстрактных идей и алгоритмов, оформленных в виде инструкций для выполнения на компьютере. Компания Alice Corp. пыталась доказать, что полученный ею патент на неоригинальную идею является достаточным основанием для сбора отчислений, потому, что он описывает реализацию идеи в форме программы для выполнения на компьютере. Cуд не согласился с таким мнением и принял сторону ответчика, признав, что реализация абстрактной идеи в форме программы для ЭВМ, лишь меняет метод её описания и не позволяет превратить эту идею в изобретение, пригодное для патентования. В последнее время число патентов … Читать далее Верховный суд США вынес решение против патентов на программное обеспечение

В BMC (Baseboard Management Сontroller) чипе, используемом в материнских платах Supermicro, выявлена уязвимость, позволяющая злоумышленнику получить доступ к паролям входа в управляющий интерфейс. Проблема вызвана тем, что содержимое файла с паролями выводится среди бинарного блока данных, который можно получить без аутентификации через сетевой порт 49152. Техника эксплуатации очень проста, достаточно подключиться к порту 49152 и выполнить команду «GET /PSBlock». Пароли выдаются в открытом виде, без хэширования. Выявившие уязвимость исследователи безопасности предупреждают, что им удалось обнаружить в сети 31964 серверов, подверженных данной проблеме, при этом на 3296 (10%) из этих систем применялись пароли, заданные по умолчанию. Предоставляемый BMC-контроллером IPMI-интерфейс предоставляет средства … Читать далее Уязвимость в BMC-контроллере Supermicro позволяет получить доступ к паролям управляющего интерфейса

Организация Document Foundation анонсировала корректирующий выпуск офисного пакета LibreOffice 4.2.5, в котором представлены только исправления ошибок и обновления файлов с переводами. Отмечается, что версия 4.2.5 достигла полной стабилизации и пригодна для использования всеми категориями пользователей. Это первый выпуск в серии 4.2.x, признанный готовым для применения в корпоративной среде. Установочные пакеты подготовлены для платформ Linux, Mac OS X и Windows. Читать далее Корректирующий выпуск офисного пакета LibreOffice 4.2.5

В cистеме управления контейнерной виртуализацией Docker выявлена уязвимость, позволяющая выйти за пределы изолированного контейнера. Проблема устранена в релизе Docker 1.0, но присутствует в выпусках до 0.11 включительно. Для проверки наличия проблемы подготовлен прототип эксплоита, позволяющий из контейнера прочитать любой файл хост-системы. Кроме Docker проблеме могут быть подвержены и другие системы контейнерной виртуализации, использующие инструменты, подобные LXC. Техника эксполуатации основана на обращении в внешним файлам через прямой доступ к inode, которые остаются видимыми в контексте всей файловой системы после прикрепления части данной ФС через «mount —bind». Полагая, что inode 2, как правило, связан с корнем, осуществляется последовательный перебор всех inode, пока … Читать далее Выявлена уязвимость, позволяющая выйти за пределы контейнеров Docker

Компания Google представила два проекта для web-разработчиков — Web Fundamentals и Web Starter Kit. Web Fundamentals представляет собой набор основополагающих рекомендаций по созданию переносимых web-интерфейсов, работающих на устройствах различных типов, независимо от используемых платформ, браузеров и фреймворков. Например, даются советы по обеспечению адаптации интерфейса для разных экранных разрешений, организации форм ввода, размещения изображений и видео, оптимизации производительности, локализации. Web Starter Kit является готовым набором CSS-шаблонов и инструментов для воплощения на практике методов, описанных в Web Fundamentals. Исходные тексты распространяются под лицензией Apache и доступны для внесения изменений через GitHub. Читать далее Компания Google представила Web Fundamentals и Web Starter Kit

Доступен промежуточный выпуск LLVM 3.4.2 (Low Level Virtual Machine), GCC-совместимого инструментария (компиляторы, оптимизаторы и генераторы кода), компилирующего программы в промежуточный биткод RISC-подобных виртуальных инструкций (низкоуровневой виртуальной машины с многоуровневой системой оптимизации). Сгенерированный платформонезависимый псевдокод может быть преобразован при помощи JIT-компилятора в машинные инструкции непосредственно в момент выполнения программы. Новая версия полностью совместима с LLVM 3.4 на уровне API и ABI. Выпуск примечателен решением проблем со сборкой при помощи GCC 4.9 и устранением ошибки, приводящей к неверному выставлению логического имени (soname) для библиотеки libLLVM.so. Читать далее Выпуск LLVM 3.4.2

В BMC (Baseboard Management Сontroller) чипе, используемом в материнских платах Supermicro, выявлена уязвимость, позволяющая злоумышленнику получить доступ к паролям входа в управляющий интерфейс. Проблема вызвана тем, что содержимое файла с паролями выводится среди бинарного блока данных, который можно получить без аутентификации через сетевой порт 49152. Техника эксплуатации очень проста, достаточно подключиться к порту 49152 и выполнить команду «GET /PSBlock». Пароли выдаются в открытом виде, без хэширования. Выявившие уязвимость исследователи безопасности предупреждают, что им удалось обнаружить в сети 31964 серверов, подверженных данной проблеме, при этом на 3296 (10%) из этих систем применялись пароли, заданные по умолчанию. Предоставляемый BMC-контроллером IPMI-интерфейс предоставляет средства … Читать далее Уязвимость в BMC-контроллере Supermicro, позволяет получить доступ к паролям управляющего интерфейса

Компания Google сообщила об интеграции в основную кодовую базу HTTP-сервера Apache 2.4 модуля mod_spdy, содержащего реализацию протокола SPDY, составляющего основу будущего стандарта HTTP/2.0. Модуль позволяет интегрировать в HTTP-сервер прозрачную поддержку всех базовых возможностей SPDY, а также определённых в черновом варианте спецификации HTTP/2.0 средств по мультиплексированию потоков. Для организации SSL-соединений mod_spdy использует штатный модуль mod_ssl, дополненный поддержкой расширения NPN TLS HTTPS. Так как сжатие заголовков производится на этапе обработки соединений, а не на стадии формирования запроса, mod_spdy совместим с другими модулями Apache, т.е. сжатие заголовков не мешает работе модулей, манипулирующих HTTP-заголовками. После загрузки модуля и указания директивы «SpdyEnabled on» все обслуживаемые … Читать далее В состав HTTP-сервера Apache включён модуль с поддержкой протокола SPDY

Facebook представил проект Wedge, в рамках которого развивается открытый сетевой коммутатор, рассчитанный на обслуживание серверной стойки (top-of-rack). Одновременно представлена основанная на ядре Linux операционная система FBOSS, предназначенная для использования в коммутаторах. Благодаря отличающемуся от традиционных парадигм подходу к комбинации компонентов программного и аппаратного обеспечения для организации работы сетевого стека, в новом коммутаторе удалось достигнуть нового уровня прозрачности, автоматизации и управления в работе сети. При разработке был учтён опыт использования тысяч серверов в центре обработки данных Facebook. Рабочий 40-гигабитный прототип коммутатора на базе платформ Wedge и FBOSS, включающий 16 слотов, расширяемых до 32, уже тестируются в сети Facebook. После завершения тестирования, … Читать далее Facebook представил открытую платформу для создания сетевых коммутаторов

В основную ветку репозитория AOSP (Android Open Source Project), в рамках которого развивается следующий выпуск платформы Android, приняты изменения по умолчанию активирующие для выполнения приложений новый runtime ART и отключающие использование runtime виртуальной машины Dalvik (libdvm.so). ART позволяет в момент установки скомпилировать приложение в машинный код и в дальнейшем выполнять программу в нативном виде, без задействования виртуальной машины. Применение упреждающей AOT-компиляции (Ahead-of-time) вместо JIT-компиляции по мере выполнения кода позволяет заметно повысить производительность программ. Для компиляции в поставку включена утилита dex2oat, формирующая исполняемые файлы на основе файлов в формате DEX (Dalvik Executable Format). Повышению производительности также способствует использование в ART более … Читать далее Android переходит с виртуальной машины Dalvik на компилятор ART

На состоявшемся вчера заседании комитета FESCo (Fedora Engineering Steering Committee), отвечающего за техническую часть разработки дистрибутива Fedora Linux, утверждено предложение по замене Yum на DNF в качестве пакетного менеджера по умолчанию, начиная с Fedora 22. В экспериментальном режиме DNF поддерживается в качестве альтернативной системы управления пакетами начиная с Fedora 18. DNF является ответвлением от Yum 3.4, созданный для развития некоторых новых идей, таких как использование библиотеки hawkey в качестве бэкенда для разрешения зависимостей. Для разрешения зависимостей в DNF задействован SAT solver, реализованный в библиотеке libsolv (hawkey выступает в роли надстройки над libsolv), созданной в рамках проекта openSUSE. Для обычного пользователя … Читать далее Утверждён план перехода Fedora 22 на пакетный менеджер DNF

Орельен Ярно (Aurelien Jarno), один из мэйнтейнеров пакетов с системной библиотекой libc, объявил о возвращении дистрибутива Debian GNU/Linux на использование Glibc (GNU C Library), вместо поставки библиотеки Eglibc (Embedded GLIBC), на которую дистрибутив перешёл пять лет назад. В настоящее время пакеты c GLibc уже загружены в экспериментальный репозиторий Debian. Имена пакетов не изменились, процесс миграции будет полностью прозрачен для пользователей. В качестве причины возвращения к GLibc называется потеря смысла в разработке Eglibc (по словам Орельена проект «умер») после выпуска последнего релиза 2.19. Проект Eglibc был основан в ответ на слишком жесткую и централизованно контролируемую политику приёма изменений в GLibc. В … Читать далее Debian GNU/Linux возвращается с Eglibc на GLibc

Разработчики проекта X.Org объявили о праздновании 30-летия с момента первого анонса протокола X Window System, представленного Робертом Шеффлером в июне 1984 года. Несмотря на бурное развитие таких систем, как Wayland и Mir, и критику, что протокол X11 потерял актуальность, так как разработан в эпоху до графических процессоров, многоядерных и мобильных систем, X Window System по-прежнему остаётся основой для построения современных десктоп-окружений для Unix-подобных ОС. Путь от выпуска X1 до X11 протокол прошёл всего за три года, после чего X11 лишь обрастает расширениями, но не меняет своей сути. Например, в качестве расширений были представлены такие распространённые в настоящее время возможности как … Читать далее X Window System исполнилось 30 лет. FreeBSD 21 год

После полугода разработки компания Google представила релиз языка программирования Go 1.3, который позиционируется как гибридное решение, сочетающее высокую производительность компилируемых языков с такими достоинствами скриптовых языков, как лёгкость написания кода, быстрота разработки и защищённость от ошибок. Код проекта распространяется под лицензией BSD. Синтаксис Go базируется на привычных элементах языка Си с отдельными заимствованиями из языка Python. Язык достаточно лаконичен, но при этом код легко читается и воспринимается. Код на языке Go компилируется в обособленные бинарные исполняемые файлы, выполняемые нативно без использования виртуальной машины (модули профилирования, отладки и другие подсистемы выявления проблем на этапе выполнения интегрируются в виде runtime-компонентов), что позволяет … Читать далее Увидел свет язык программирования Go 1.3

Спустя несколько дней с момента релиза OpenXcom 1.0, открытого варианта классической стратегической игры «UFO: Enemy Unknown«, в Steam для Linux доступна для установки современная редакция — «XCOM: Enemy Unknown«. Из официально поддерживаемых платформ заявлены Ubuntu 14.04 и SteamOS. Кроме того, для Linux адаптированы все доступные обновления к игре, в том числе «XCOM: Enemy Within». Читать далее Для Linux выпущена игра XCOM: Enemy Unknown

Доступен релиз популярного LaTeX-дистрибутива TeX Live 2014, созданного в 1996 году на базе проекта teTeX. TeX Live является наиболее простым способом для развертывания инфраструктуры для подготовки научной документации, независимо от используемой операционной системы. Для загрузки доступна DVD-сборка (2 Гб) TeX Live 2014, которая содержит рабочее Live-окружение, полный набор установочных файлов для различных операционных систем, копию репозитория CTAN (Comprehensive TeX Archive Network), подборку документации на разных языках (включая русский). Из новшеств можно отметить: Пакет TeX обновлён до версии 3.14159265 (прошлое обновление было в 2008 году), в которой возвращено отображение сведений о предзагруженном формате и появилась корректная обработка нулевых управляющих пследовательностей (csnameendcsname). … Читать далее Вышел TeX Live 2014