Некоммерческий фонд, курирующий разработку анонимной сети Tor, опубликовал финансовый отчёт за 2021 финансовый год (c 1 июля 2020 г. по 30 июня 2021 года). За отчётный период размер полученных проектом средств составил 7.4 млн долларов (для сравнения в 2020 финансовом году было получено 4.8 млн). При этом около 1.7 млн долларов было выручено благодаря продаже на аукционе картины «Dreaming at Dusk«, созданной художницей Итцель Ярд на основе закрытого ключа первого onion-сервиса Dusk. Около 38% полученных проектом средств приходится на гранты, выделяемые подконтрольными правительству США фондами, что на 15% меньше чем в предыдущем году (для сравнения, в 2015 году этот показатель … Читать далее Отчёт о финансировании проекта Tor

Андрей Савченко из нижегородского филиала Высшей школы экономики опубликовал результат своих исследований в области машинного обучения, связанных с распознаванием эмоций на лицах людей, присутствующих на фотографиях и видео. Код написан на языке Python с использованием PyTorch и распространяется под лицензией Apache 2.0. Доступно несколько готовых моделей, в том числе пригодных для использования на мобильных устройствах. На базе библиотеки другим разработчиком создана программа sevimon, позволяющая отслеживать изменение эмоций с использованием видеокамеры и помогать в контроле напряжения мышц лица, например, для устранения перенапряжения, косвенного воздействия на настроение и, при длительном применении, предотвращения появления мимических морщин. Для определения позиции лица на видео задействована … Читать далее Использование машинного обучения для определения эмоций и контроля над своей мимикой

Компания Meta/Facebook (запрещена в РФ) представила новый звуковой кодек EnCodec, использующий методы машинного обучения для повышения степени сжатия без потери качества. Кодек может применять как для потоковой передачи звука в режиме реального времени, так и для кодирования для последующего сохранения в файлах. Эталонная реализация EnCodec написана на языке Python с использованием фреймворка PyTorch и распространяется под лицензией CC BY-NC 4.0 (Creative Commons Attribution-NonCommercial), допускающей использование только в некоммерческих целях. Для загрузки предложены две готовые модели: Каузальная модель, использующая частоту дискретизации 24 kHz, поддерживающая только монофонический звук и натренированная на разноплановых звуковых данных (подходит для кодирования речи). Модель может использоваться для … Читать далее Facebook опубликовал звуковой кодек EnCodec, использующий машинное обучение

Компания Dropbox раскрыла сведения об инциденте, в результате которого злоумышленники получили доступ к 130 приватным репозиториям, размещённым на GitHub. Утверждается, что в скомпрометированных репозиториях содержались модифицированные для нужд Dropbox ответвления от существующих открытых библиотек, некоторые внутренние прототипы, а также утилиты и файлы конфигурации, используемые командой, отвечающей за безопасность. Атака не затронула репозитории с кодом базовых приложений и ключевых элементов инфраструктуры, которые разрабатывались отдельно. Разбор показал, что атака не привела к утечке пользовательской базы и компрометации инфраструктуры. Доступ к репозиториям был получен в результате перехвата учётных данных одного из сотрудников, который стал жертвой фишинга. Злоумышленники отправили сотруднику письмо под видом предупреждения … Читать далее Фишинг-атака на сотрудников Dropbox привела к утечке 130 закрытых репозиториев

Опубликован корректирующий выпуск криптографической библиотеки OpenSSL 3.0.7, в котором устранены две уязвимости. Обе проблемы вызваны переполнением буфера в коде проверки поля с email-адресом в сертификатах X.509 и потенциально могут привести к выполнению кода при обработке специально оформленного сертификата. На момент публикации исправления разработчиками OpenSSL не было зафиксировано фактов наличия рабочего эксплоита, способного привести к выполнению кода атакующего. Несмотря на то, что в заранее опубликованном анонсе нового выпуска упоминалось наличие критической проблемы, фактически в выпущенном обновлении статус уязвимости был снижен до уровня опасной, но не критической проблемы. В соответствии с принятыми в проекте правилами снижение уровня опасности производится в случае проявления … Читать далее Переполнение буфера в OpenSSL, эксплуатируемое при проверке сертификатов X.509

Опубликован выпуск пакета exfatprogs 1.2.0, развивающего официальный набор Linux-утилит для создания и проверки ФС exFAT, пришедший на смену устаревшему пакету exfat-utils и сопутствующий встроенному в ядро Linux новому драйверу exFAT (поставляется начиная с выпуска ядра 5.7). В состав набора входят утилиты mkfs.exfat, fsck.exfat, tune.exfat, exfatlabel, dump.exfat и exfat2img. Код написан на языке Си и распространяется под лицензией GPLv2. Новый выпуск примечателен реализацией в утилите fsck.exfat возможности восстановления повреждений в ФС exFAT (ранее функциональность ограничивалась лишь выявлением проблем) и поддержкой обхода файлов в каталогах с повреждённой структурой. В fsck.exfat также добавлены новые опции: «b» для восстановления загрузочного сектора и «s» для … Читать далее В пакете exfatprogs 1.2.0 появилась поддержка восстановления ФС exFAT

Опубликован выпуск дистрибутива Nitrux 2.5.0, построенного на пакетной базе Debian, технологиях KDE и системе инициализации OpenRC. Проект предлагает собственный рабочий стол NX Desktop, который представляет собой надстройку над пользовательским окружением KDE Plasma. На основе библиотеки Maui для дистрибутива развивается набор типовых пользовательских приложений, которые можно использовать как на настольных системах, так и на мобильных устройствах. Для установки дополнительных приложений продвигается система самодостаточных пакетов AppImages. Размер полного загрузочного образа составляет 1 ГБ. Наработки проекта распространяются под свободными лицензиями. Рабочий стол NX Desktop предлагает иное стилевое оформление, собственную реализацию системного лотка, центра вывода уведомлений и различных плазмоидов, таких как конфигуратор сетевых соединений … Читать далее Выпуск дистрибутива Nitrux 2.5 с рабочим столом NX Desktop

После года разработки Опубликован релиз Supertuxkart 1.4, свободной гоночной игры с большим количеством картов, трасс и возможностей. Код игры распространяется под лицензией GPLv3. Бинарные сборки доступны для Linux, Android, Windows и macOS. В новом выпуске: Сбалансированы стартовые позиции и переработано размещение элементов при гонках на футбольных полях для того чтобы сделать состязание удобным, независимо от числа участников (вплоть до гонок «один против одного»). Для улучшения планирования стратегии прохождения маршрута на поле добавлена разметка. Добавлен режим прохождения пробного круга. Реализована возможность формирования Windows-сборок для архитектуры ARMv7. Восстановлена поддержка платформы macOS с версии 10.9 по 10.14 включительно. Добавлена новая анимации для элементов … Читать далее Выпуск свободной гоночной игры SuperTuxKart 1.4

После пяти месяцев разработки представлен релиз системного менеджера systemd 252. Ключевым изменением в новой версии стала интеграция поддержки модернизированного процесса загрузки, позволяющего верифицировать по цифровым подписям не только ядро и загрузчик, но и компоненты базового системного окружения. Предложенный метод подразумевает использование при загрузке унифицированного образа ядра UKI (Unified Kernel Image), объединяющего обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd, применяемое для начальной инициализации на стадии до монтирования корневой ФС. UKI-образ оформляется в виде одного исполняемого файла в формате PE, который может быть загружен при помощи традиционных загрузчиков или напрямую … Читать далее Выпуск системного менеджера systemd 252 с поддержкой UKI (Unified Kernel Image)

В утилите ntfs-3g из набора NTFS-3G, предлагающего работающую в пространстве пользователя реализацию файловой системы NTFS, выявлена уязвимость CVE-2022-40284, потенциально позволяющая выполнить код с правами root в системе при монтировании специально оформленного раздела. Уязвимость устранена в выпуске NTFS-3G 2022.10.3. Уязвимость вызвана ошибкой в коде разбора метаданных в NTFS-разделах, приводящий к переполнению буфера при обработке определённым образом оформленных образов с ФС NTFS. Атака может быть совершена при монтировании пользователем образа или накопителя, подготовленных атакующим, или при подключении к компьютеру USB Flash со специально оформленным разделом (если система настроена для автоматического монтирования разделов NTFS при помощи NTFS-3G). Рабочие эксплоиты для указанной уязвимости пока … Читать далее Уязвимость в драйвере NTFS-3G, потенциально позволяющая выполнить код с правами root

Доступен выпуск среды разработки Tizen Studio 5.0, пришедшей на смену Tizen SDK и предоставляющей набор инструментов для создания, сборки, отладки и профилирования мобильных приложений при помощи Web API и Native API Tizen. Среда построена на базе свежего выпуска платформы Eclipse, имеет модульную архитектуру и на этапе установки или через специальный пакетный менеджер позволяет устанавливать только необходимую функциональность. В состав Tizen Studio входит набор эмуляторов устройств на базе Tizen (эмулятор смартфона, телевизора, умных часов), набор примеров для обучения, инструменты для разработки приложений на C/С++ и с использованием web-технологий, компоненты для обеспечения поддержки новых платформ, системных приложений и драйверов, утилиты для сборки … Читать далее Выпуск среды разработки Tizen Studio 5.0

После почти трёх лет разработки состоялся релиз системы сборки GNU Make 4.4. Кроме исправления ошибок, в новой версии можно отметить следующие изменения: Объявлены устаревшими платформы OS/2 (EMX), AmigaOS, Xenix и Cray, поддержка которых будет прекращена в следующем выпуске. Повышены требования к сборочному окружению, для сборки GNU Gnulib теперь необходим компилятор, поддерживающий элементы из стандарта C99. Добавлена специальная сборочная цель .WAIT, позволяющая приостановить запуск сборки определённых целей до того как будет завершена сборка других целей. В специальной сборочной цели .NOTPARALLEL реализована возможность указания пререквизитов (файлов, необходимых для сборки цели) для последовательного запуска связанных с ними целей (как если бы между каждым … Читать далее Выпуск системы сборки GNU Make 4.4

Для открытой операционной системы Haiku, продолжающей развитие идей BeOS, подготовлена прослойка для обеспечения совместимости с Wayland, позволяющая запускать тулкиты и приложения, использующие данный протокол, в том числе приложения на базе библиотеки GTK. Прослойку разработал Илья Чугин, который также занимается портом Haiku для архитектуры RISC-V и адаптацией Wine для Haiku. Прослойка предоставляет библиотеку libwayland-client.so, основанную на коде libwayland и совместимую на уровне API и ABI, что позволяет запускать приложения Wayland без изменений. В отличие от типовых композитных серверов Wayland, прослойке не запускается в форме отдельного серверного процесса, а загружается как плагин к клиентским процессам. Вместо сокетов в сервере используется нативный цикл … Читать далее Для Haiku реализована прослойка для совместимости с Wayland

Компания Google решила отказаться от экспериментальной поддержки формата JPEG XL в браузере Chrome и полностью убрать его поддержку в версии 110 (до сих пор поддержка JPEG XL была отключена по умолчанию и требовала изменения параметра в chrome://flags). Один из разработчиков Chrome назвал причины такого решения: Экспериментальные флаги и код не должны оставаться на неопределенный срок. Нет достаточного интереса со стороны всей экосистемы, чтобы продолжать эксперименты с JPEG XL. Новый формат изображений не даёт достаточных дополнительных преимуществ по сравнению с существующими форматами, чтобы включить его по умолчанию. Удаление флага и кода в Chrome 110 снижает нагрузку на сопровождение и позволяет сосредоточиться … Читать далее Google упраздняет поддержку JPEG XL в Chrome

Опубликован выпуск прокси-сервера outline-ss-server 1.4, использующего протокол Shadowsocks для скрытия характера трафика, обхода межсетевых экранов и обмана систем инспектирования пакетов. Сервер развивается проектом Outline, дополнительно предоставляющим обвязку из клиентских приложений и управляющего интерфейса, позволяющего быстро развёртывать многопользовательские Shadowsocks-серверы на базе outline-ss-server в публичных облачных окружениях или на своём оборудовании, управлять ими через web-интерфейс и организовать доступ пользователей по ключам. Разработкой и сопровождением кода занимается Jigsaw, подразделение в Google, созданное для развития средств обхода цензуры и организации свободного обмена информацией. Outline-ss-server написан на языке Go и распространяется под лицензией Apache 2.0. В качестве основы использован код прокси-сервера go-shadowsocks2, созданного сообществом разработчиков … Читать далее Выпуск outline-ss-server 1.4, реализации Shadowsocks-прокси от проекта Outline

В web-интерфейсе J-Web, который используется в сетевых устройствах компании Juniper, оснащённых операционной системой JunOS, выявлено несколько уязвимостей, наиболее опасная из которых (CVE-2022-22241) позволяет удалённо без прохождения аутентификации выполнить свой код в системе через отправку специально оформленного HTTP-запроса. Пользователям оборудования Juniper рекомендовано установить обновление прошивки, а если это невозможно, проследить, чтобы доступ к web-интерфейсу был заблокирован из внешних сетей и ограничен только заслуживающими доверия хостами. Суть уязвимости в том, что передаваемый пользователем файловый путь обрабатываются в скрипте /jsdm/ajax/logging_browse.php без фильтрации префикса с типом контента на стадии до проверки аутентификации. Атакующий может передать под видом изображения вредоносный phar-файл и добиться выполнения размещённого … Читать далее Уязвимости в web-интерфейсе сетевых устройств Juniper, поставляемых с JunOS

Доступен выпуск дистрибутива Ubuntu Sway Remix 22.10, предоставляющего преднастроенный и готовый к использованию рабочий стол на основе мозаичного композитного менеджера Sway. Дистрибутив является неофициальной редакцией Ubuntu 22.10, созданной с оглядкой как на опытных пользователей GNU/Linux, так и новичков, желающих попробовать окружение мозаичных оконных менеджеров без необходимости в их долгой настройке. Для загрузки подготовлены сборки для архитектуры amd64 (2.1 ГБ). Окружение дистрибутива построено на основе Sway — композитного менеджера, использующего протокол Wayland и полностью совместимого с мозаичным оконным менеджером i3, а также панели Waybar, файлового менеджера PCManFM-GTK3, и утилит из проекта NWG-Shell, таких как менеджер обоев рабочего стола Azote, полноэкранного меню … Читать далее Выпуск дистрибутива Ubuntu Sway Remix 22.10

В дерево исходных текстов FreeBSD приняты изменения с новой реализацией VPN WireGuard, основанной на коде модуля ядра, совместно подготовленного основными командами разработчиков FreeBSD и WireGuard при участии Джейсона Доненфилда (Jason A. Donenfeld), автора VPN WireGuard, и Джона Болдуина (John H. Baldwin), известного разработчика GDB и FreeBSD, в начале 2000-х годов реализовавшего поддержку SMP и NUMA в ядре FreeBSD. После принятия драйвера в состав FreeBSD (sys/dev/wg), его разработка и сопровождение отныне будет вестись в репозитории FreeBSD. Перед принятием кода при поддержке организации FreeBSD Foundation было проведено полное рецензирование изменений, в ходе которого также было проанализировано взаимодействие драйвера с остальными подсистемами ядра … Читать далее В кодовую базу FreeBSD добавлена новая реализация VPN WireGuard

В поисковой системе Google выявлено появление мошеннических рекламных записей, показываемых на первых местах поисковой выдачи и нацеленных на распространение вредоносного ПО, прикрываясь продвижением свободного графического редактора GIMP. Рекламная ссылка оформлена таким образом, что у пользователей не возникает сомнений, что переход будет осуществлён на официальный сайт проекта www.gimp.org, но на деле осуществляется проброс на подконтрольные злоумышленникам домены gilimp.org или gimp.monster. Содержимое открываемых сайтов повторяет оригинальный сайт gimp.org, но при попытке загрузки осуществляется перенаправление на сервисы Dropbox и Transfer.sh, через которые отдаётся файл Setup.exe с вредоносным кодом. Несовпадение адреса перехода и показываемого в выдаче Google URL объясняется особенностями настройки объявлений в сети … Читать далее Распространение вредоносных файлов через рекламу GIMP в Google

Разработчики SQLite развивают проект по реализации возможности компиляции библиотеки в промежуточный код WebAssembly, способный запускаться в web-браузере и пригодный для организации работы с БД из web-приложений на языке JavaScript. Код для поддержки WebAssembly добавлен в основной репозиторий проекта. В отличие от API WebSQL, в основе которого лежит SQLite, WASM SQLite полностью изолирован от браузера и не влияет на его безопасность (Google решил отказаться от поддержки WebSQL в Chrome после нескольких уязвимостей в SQLite, которые можно было эксплуатировать через WebSQL для атаки на браузер). Целью проекта является предоставление рабочей JavaScript-обвязки, идентичной по функциональности с API SQLite. Web-разработчикам предоставляется высокоуровневый объектно-ориентированный интерфейс … Читать далее В SQLite добавлена поддержка WASM для использования СУБД в web-браузере

Представлен релиз Linux-дистрибутива Zorin OS 16.2, основанного на пакетной базе Ubuntu 20.04. Целевой аудиторией дистрибутива являются начинающие пользователи, привыкшие работать в Windows. Для управления оформлением дистрибутив предлагает специальный конфигуратор, позволяющий придать рабочему столу вид, свойственный различным версиям Windows и macOS, а в состав включена подборка программ, близких к программам, к которым привыкли пользователи Windows. Для интеграции рабочего стола со смартфоном поставляется приложение Zorin Connect (на базе KDE Connect). Кроме репозиториев Ubuntu по умолчанию включена поддержка установки программ из каталогов Flathub и Snap Store. Размер загрузочного iso-образа составляет 2.7 ГБ (доступны четыре сборки — обычная на основе GNOME, «Lite» с Xfce … Читать далее Выпуск Zorin OS 16.2, дистрибутива для пользователей, привыкших к Windows или macOS