Группа исследователей из китайских и американских университетов выявила новую уязвимость в процессорах Intel, приводящую к утечке по сторонним каналам информации о результате спекулятивного выполнения операций, которую можно использовать, например, для организации скрытого канала связи между процессами или определения утечек при совершении атак класса Meltdown. Суть уязвимости в том, что изменение процессорного регистра EFLAGS, произошедшее в результате спекулятивного выполнения инструкций, влияет на последующее время выполнения инструкций JCC (переход при выполнении заданных условий). Спекулятивные операции не завершаются и результат отбрасывается, но отброшенное изменение EFLAGS можно определить при помощи анализа времени выполнения инструкций JCC. Выполненные в спекулятивном режиме операции сравнения перед переходом в … Читать далее Уязвимость в процессорах Intel, приводящая к утечке данных по сторонним каналам

Опубликован выпуск кроссплатформенного свободного редактора кода CudaText 1.192, написанного с использованием Free Pascal и Lazarus. Редактор поддерживает расширения на Python, и имеет ряд преимуществ над Sublime Text. Присутствуют некоторые возможности интегрированной среды разработки, реализованные в виде плагинов. Для программистов подготовлено более 300 синтаксических лексеров. Код распространяется под лицензией MPL 2.0. Сборки доступны для платформ Linux, Windows, macOS, FreeBSD, OpenBSD, NetBSD, DragonflyBSD и Solaris. Из новых возможностей, появившихся с момента прошлого анонса, отмечаются новые плагины в Plugins Manager: Markdown Special Paste: обработка команды «Вставка» для URL и картинок. Markdown Image: показ картинок, упомянутых в тексте, между строками. Deep Translator: перевод текста. … Читать далее Обновление редактора кода CudaText 1.192.0

Дэвид Вестон, вице-президент Microsoft, отвечающий за безопасность операционной системы Windows, в своём докладе на конференции BlueHat IL 2023 поделился информацией о развитии механизмов защиты Windows. Среди прочего упомянут прогресс в задействовании языка Rust для повышения безопасности ядра Windows. Более того, заявлено, что написанный Rust код будет добавлен ядро Windows 11 возможно уже через несколько месяцев или даже недель. В числе основных мотивов применения Rust названы задействование средств для безопасной работы с памятью и проведение работы по уменьшению ошибок в коде. В качестве начальной цели заявлена замена некоторых внутренних типов данных C++ на эквивалентные типы, предоставляемые в Rust. В текущем виде … Читать далее Компания Microsoft добавит код на Rust в ядро Windows 11

Состоялся релиз браузерного дополнения Linguist 5.0, предоставляющего полнофункциональный перевод страниц, выделенного и введённого вручную текста. Дополнение также включает словарь с закладками и широкие возможности конфигурации, включая добавление собственных модулей перевода на странице настроек. Код распространяется под лицензией BSD. Поддерживается работа в браузерах на основе движка Chromium, Firefox, Firefox для Android. Ключевые изменения в новой версии: Реализован полноценный оффлайн перевод. Новый встроенный модуль перевода интегрирует Bergamot Translator и позволяет использовать все возможности Linguist полностью автономно, без отправки текстов в интернет. Соединение с интернетом необходимо только для единоразовой загрузки моделей для каждого направления перевода, после этого подключение не требуется. Актуальный список языков … Читать далее Релиз Linguist 5.0, браузерного дополнения для перевода страниц

Компания General Motors объявила о присоединении к некоммерческой организации Eclipse Foundation, курирующей разработку более 400 открытых проектов и координирующей работу более 20 тематических рабочих групп. General Motors примет участие в рабочей группе Software Defined Vehicle (SDV), которая сосредоточена на развитии автомобильных программных стеков, создаваемых с использованием открытого исходного кода и открытых спецификаций. В группе участвуют разработчики программной платформы GM Ultifi, а также представители Microsoft, Red Hat и нескольких других автопроизводителей. В качестве своего вклада в общее дело компания General Motors поделилась с сообществом протоколом uProtocol, нацеленным на ускорение разработки программного обеспечения, поставляемого для различных автомобильных устройств. Протокол стандартизирует средства для … Читать далее General Motors присоединился к Eclipse Foundation и предоставил протокол uProtocol

В Warpinator, развиваемой проектом Linux Mint утилите для шифрованного обмена файлами между двумя компьютерами, выявлена уязвимость (CVE-2023-29380), позволяющая отправителю удалить произвольные файлы на компьютере получателя. Уязвимость устранена в выпуске Warpinator 1.6.0, в котором также добавлена дополнительная защита от похожих проблем при выполнении других операций, реализованная через использование изоляции части файловой системы при помощи Landlock или Bubblewrap. Уязвимость вызвана тем, что помимо параметров отправляемого файла программа передаёт список базовых каталогов top_dir_basenames, выставляемых относительно корневого каталога для помещения загружаемых файлов (по умолчанию ~/Warpinator). Содержимое каталогов из списка очищается во время инициализации, но элементы списка top_dir_basenames не проверяются на наличие спецсимволов, что позволяет … Читать далее Уязвимость в утилите Warpinator, позволяющая удалить файлы

Организация Buddies Of Budgie, курирующая разработку проекта после его отделения от дистрибутива Solus, опубликовала обновление окружения рабочего стола Budgie 10.7.2. Пользовательское окружение образуют поставляемые раздельно компоненты с реализацией рабочего стола Budgie Desktop, набором пиктограмм Budgie Desktop View, интерфейсом для настройки системы Budgie Control Center (форк GNOME Control Center) и хранителем экрана Budgie Screensaver (форк gnome-screensaver). Код проекта распространяется под лицензией GPLv2. Для ознакомления с Budgie можно использовать такие дистрибутивы, как Ubuntu Budgie, Fedora Budgie, Solus, GeckoLinux и EndeavourOS. Для управления окнами в Budgie используется оконный менеджер Budgie Window Manager (BWM), являющийся расширенной модификацией базового плагина Mutter. Основу Budgie составляет панель, … Читать далее Выпуск окружения рабочего стола Budgie 10.7.2

После года разработки опубликован релиз свободного набора компиляторов GCC 13.1, первый значительный выпуск в новой ветке GCC 13.x. В соответствии с новой схемой нумерации выпусков, версия 13.0 использовалась в процессе разработки, а незадолго до выхода GCC 13.1 уже ответвилась ветка GCC 14.0, на базе которой будет сформирован следующий значительный релиз GCC 14.1. Основные изменения: В состав GCC принят фронтэнд для сборки программ на языке программирования Modula-2. Поддерживается сборка кода, соответствующего диалектам PIM2, PIM3 и PIM4, а также принятому ISO-стандарту для данного языка. Добавлены компоненты фронтэнда c реализацией компилятора языка Rust, подготовленного проектом gccrs (GCC Rust). В текущем виде форнтэнд отмечен … Читать далее Релиз набора компиляторов GCC 13

В рамках проводимой реорганизации дистрибутива Solus, помимо перехода на более прозрачную модель управления, сосредоточенную в руках сообщества и независящую от одного человека, объявлено о решении использовать при разработке будущем ветки Solus 5 технологий проекта SerpentOS, развиваемого старой командой разработчиков дистрибутива Solus, в число которых входят Айки Доэрти (Ikey Doherty, создатель Solus) и Джошуа Стробл (Joshua Strobl, ключевой разработчик рабочего стола Budgie). Дистрибутив SerpentOS не является ответвлением от других проектов и основывается на собственном пакетом менеджере moss, который заимствует многие современные возможности, развиваемые в таких пакетных менеджерах, как eopkg/pisi, rpm, swupd и nix/guix, сохраняя при этом традиционный взгляд на манипуляцию пакетами … Читать далее Дистрибутив Solus 5 будет построен на технологиях SerpentOS

Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.40.1, 2.39.3, 2.38.5, 2.37.7, 2.36.6, 2.35.8, 2.34.8, 2.33.8, 2.32.7, 2.31.8 и 2.30.9, в которых устранено пять уязвимостей. Проследить за выпуском обновлений пакетов в дистрибутивах можно на страницах Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. В качестве обходных путей для защиты от уязвимостей рекомендуется избегать выполнения команды «git apply —reject» при работе с непроверенными внешними патчами и проверять содержимое $GIT_DIR/config перед запуском команд «git submodule deinit», «git config —rename-section» и «git config —remove-section» при работе с не заслуживающими доверия репозиториями. Уязвимость CVE-2023-29007 позволяет добиться подстановки настроек в файл конфигурации $GIT_DIR/config, которые могут … Читать далее Уязвимости в Git, позволяющие перезаписать файлы или выполнить свой код

Исследователи из компании Horizon3 обратили внимание на проблемы с безопасностью в большинстве установок платформы анализа и визуализации данных Apache Superset. На 2124 из 3176 изученных публичных серверов с Apache Superset выявлено использование типового ключа шифрования, указанного по умолчанию в примере файла конфигурации. Данный ключ используется в Python-библиотеке Flask для генерации сессионных Cookie, что позволяет знающему ключ атакующему сформировать фиктивные параметры сеанса, подключиться к web-интерфейсу Apache Superset и загрузить данные из привязанных БД или организовать выполнение кода с правами Apache Superset. Интересно, что изначально исследователи сообщили разработчикам о проблеме ещё в 2021 году, после чего в выпуске Apache Superset 1.4.1, сформированном … Читать далее 67% публичных серверов Apache Superset используют ключ доступа из примера настроек

Доступен корректирующий выпуск Firefox 112.0.2, в котором устранены три проблемы: Исправлена ошибка, приводящая к большому потреблению оперативной памяти при показе анимированных изображений в свёрнутых окнах (или в окнах, перекрытых другими окнами). Среди прочего проблема проявляется и при использовании анимированных тем оформления. Интенсивность утечки при открытом Youtube составляет примерно 13 МБ в секунду. Устранена проблема с пропаданием текста на некоторых сайтах (часть текста становилась невидимой), проявляющаяся на системах Linux с установленными растровыми шрифтами (например, при наличии растровой версии шрифта Helvetica). Решена проблема с отображением в окружении Windows 8 web-уведомлений, содержащих изображения. Источник: http://www.opennet.ru/opennews/art.shtml?num=59031 Читать далее Обновление Firefox 112.0.2 с устранением утечки памяти

Представлен выпуск сборочного инструментария Qbs 2.0. Для сборки Qbs в числе зависимостей требуется Qt, хотя сам Qbs рассчитан на организацию сборки любых проектов. Qbs использует упрощённый вариант языка QML для определения сценариев сборки проекта, что позволяет определять достаточно гибкие правила сборки, в которых могут подключаться внешние модули, использоваться функции на JavaScript и создаваться произвольные правила сборки. Используемый в Qbs язык сценариев адаптирован для автоматизации генерации и разбора сценариев сборки интегрированными средами разработки. Кроме того, Qbs не генерирует make-файлы, а сам, без посредников, таких как утилита make, контролирует запуск компиляторов и компоновщиков, оптимизируя процесс сборки на основе детального графа всех зависимостей. … Читать далее Выпуск сборочного инструментария Qbs 2.0

Началось тестирование нового web-браузера Opera One, который после стабилизации придёт на смену нынешнему браузеру Opera. Opera One продолжает использовать движок Chromium и отличается полностью переработанной модульной архитектурой, многопоточной организацией отрисовки и новыми возможностями по группировке вкладок. Сборки Opera One подготовлены для Linux (deb, rpm, snap), Windows и MacOS. Переход на многопоточный движок отрисовки позволил существенно повысить отзывчивость интерфейса и эффективность использования визуальных эффектов и анимации. Для интерфейса предложен отдельный поток, выполняющий задачи, связанные с отрисовкой и выводом анимации. Отдельный поток отрисовки снимает нагрузку с основного потока, отвечающего за формирование интерфейса, что позволяет добиться более плавного вывода и избежать подвисаний из-за … Читать далее Представлен web-браузер Opera One, идущий на смену нынешнему браузеру Opera

Директор компании Red Hat объявил во внутренней корпоративной рассылке о грядущем сокращении сотен рабочих мест. В настоящее время в головном офисе Red Hat трудоустроено 2200 сотрудников и ещё 19000 работает в отделениях по всему миру. Точное число сокращаемых рабочих мест не уточняется, известно только то, что увольнения будут проведены в несколько этапов и не затронут сотрудников, вовлечённых в создание продуктов и прямые продажи клиентам. Cокращению персонала способствуют негативные прогнозы относительно предстоящей прибыли. Например, в последнем квартале доход Rad Hat вырос на 8%, что воспринимается как замедление роста, так как с 2019 года компания демонстрировала рост в среднем на уровне 15%. … Читать далее Red Hat начинает сокращение рабочих мест

Объявлены результаты ежегодных выборов лидера проекта Debian. Победу одержал Джонатан Картер (Jonathan Carter), который был переизбран на четвёртый срок. В голосовании приняли участие 274 разработчика, что составляет 28% от всех участников, имеющих право голоса, что является минимальным за всю историю проекта (в прошлом году явка составила 34%, в позапрошлом 44%, исторический максимум — 62%). В этом году выборы были примечательны тем, что на них был выставлен только один кандидат, что свело голосование к выбору между «за» и «против» (за проголосовало 259, против — 15). Джонатан Картер с 2016 года занимается сопровождением более 60 пакетов в Debian, принимает участие в улучшении … Читать далее Джонатан Картер в четвёртый раз переизбран на пост лидера проекта Debian

Опубликован выпуск инструментария CRIU 3.18 (Checkpoint and Restore In Userspace), предназначенного для сохранения и восстановления процессов в пространстве пользователя. Инструментарий позволяет сохранить состояние одного или группы процессов, а затем возобновить работу с сохранённой позиции, в том числе после перезагрузки системы или на другом сервере без разрыва уже установленных сетевых соединений. Код проекта распространяется под лицензией GPLv2. Из областей применения технологии CRIU отмечается обеспечение перезагрузки ОС без нарушения непрерывности выполнения длительно выполняемых процессов, Live-миграция изолированных контейнеров, ускорение запуска медленных процессов (можно начать работу с состояния, сохранённого после инициализации), проведение обновлений ядра без перезапуска сервисов, периодическое сохранение состояния долговыполняемых вычислительных задач для … Читать далее Выпуск CRIU 3.18, системы для сохранения и восстановления состояния процессов в Linux

Опубликован релиз свободного редактора звука Audacity 3.3, предоставляющего средства для редактирования звуковых файлов (Ogg Vorbis, FLAC, MP3 и WAV), записи и оцифровки звука, изменения параметров звукового файла, наложения треков и применения эффектов (например, подавление шума, изменение темпа и тона). Audacity 3.3 стал третьим значительный выпуском, сформированным после перехода проекта в руки компании Muse Group. Код Audacity распространяется под лицензией GPLv3, бинарные сборки доступны для Linux, Windows и macOS. Основные улучшения: Во встроенных эффектах «НЧ и ВЧ», «Искажение», «Фейзер», «Реверберация» и «Вау-вау» реализована поддержка работы в режиме реального времени. Добавлен новый эффект «Полочный фильтр» (Shelf Filter), который усиливает или ослабляет частоты … Читать далее Выпуск звукового редактора Audacity 3.3

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 6.3. Среди наиболее заметных изменений: чистка устаревших ARM-платформ и графических драйверов, продолжение интеграции поддержки языка Rust, утилита hwnoise, поддержка древовидных структур red-black в BPF, режим BIG TCP для IPv4, встроенный тест производительности Dhrystone, возможность запрета исполнения в memfd, поддержка создания HID-драйверов, используя BPF, в Btrfs приняты изменения для уменьшения фрагментации групп блоков. В новую версию принято 15637 исправлений от 2055 разработчиков; размер патча — 76 МБ (изменения затронули 14296 файлов, добавлено 1023183 строк кода, удалено 883103 строк). Для сравнения в прошлой версии было предложено 16843 исправлений от 2178 разработчиков; размер … Читать далее Релиз ядра Linux 6.3

Представлен выпуск Rakudo 2023.04, компилятора для языка программирования Raku (бывший Perl 6). Проект был переименован из Perl 6 так как не стал продолжением Perl 5, как ожидалось изначально, а превратился в отдельный язык программирования, не совместимый с Perl 5 на уровне исходных текстов и развиваемый отдельным сообществом разработчиков. Компилятор поддерживает варианты языка Raku, описанные в спецификациях 6.c, 6.d (по умолчанию). Одновременно доступен выпуск виртуальной машины MoarVM 2023.04, формирующей среду для запуска скомпилированного в Rakudo байт-кода. В Rakudo компиляция также поддерживается для JVM и некоторых виртуальных машин для JavaScript. Из улучшений в Rakudo 2023.04 отмечается активация поддержки RakuAST («use experimental :rakuast») … Читать далее Релиз компилятора Rakudo 2023.04 для языка программирования Raku (бывший Perl 6)

В репозитории Python-пакетов PyPI (Python Package Index) предоставлена возможность использования нового защищённого метода публикации пакетов, позволяющего обойтись без сохранения на внешних системах (например, в GitHub Actions) фиксированных паролей и токенов доступа к API. Новый метод аутентификации получил название ‘Trusted Publishers‘ и призван решить проблему с публикацией вредоносных обновлений, осуществляемых в результате компрометации внешних систем и попадания в руки злоумышленников предопределённых паролей или токенов. Новый метод аутентификации основан на использовании стандарта OpenID Connect (OIDC), подразумевающего использование токенов аутентификации с ограниченным временем действия, которыми обмениваются внешние сервисы и каталог PyPI для подтверждения операции публикации пакета вместо использования традиционных логина/пароля или вручную сгненерированных … Читать далее В PyPI реализована возможность публикации пакетов без привязки к паролям и токенам API