После полутора лет разработки опубликован выпуск системы синхронизации точного времени NTPsec 1.2.2, являющуюся форком эталонной реализации протокола NTPv4 (NTP Classic 4.3.34), сфокусированным на переработке кодовой базы с целью повышения безопасности (выполнена чистка устаревшего кода, задействованы методы предотвращения атак и защищённые функции для работы с памятью и строками). Проект развивается под руководством Эрика Реймонда (Eric S. Raymond) при участии некоторых разработчиков оригинального NTP Classic, инженеров из компаний Hewlett Packard и Akamai Technologies, а также проектов GPSD и RTEMS. Исходные тексты NTPsec распространяются под лицензиями BSD, MIT и NTP. Среди изменений в новой версии: Восстановлена поддержка протокола NTPv1 и проведена чистка его … Читать далее Выпуск NTP-сервера NTPsec 1.2.2

Группа исследователей из Стэнфордского университета изучила влияние использования интеллектуальных помощников при написании кода на появление в коде уязвимостей. Рассматривались решения на базе платформы машинного обучения OpenAI Codex, такие как GitHub Copilot, позволяющие формировать достаточно сложные блоки кода, вплоть до готовых функций. Опасения связаны с тем, что так как для тренировки модели машинного обучения использован реальный код из публичных репозиториев GitHub, в том числе содержащий уязвимости, синтезированный код может повторять ошибки и предлагать код, в котором присутствуют уязвимости, а также не учитывать необходимость выполнения дополнительных проверок при обработке внешних данных. К проведению исследования были привлечены 47 добровольцев, имеющих разный опыт в … Читать далее Исследование влияния AI-ассистентов, подобных GitHub Copilot, на безопасность кода

Со 2 по 6 января 2023 года состоится бесплатный онлайн интенсив по Linux для учеников 7-8 классов. Интенсив посвящён замене Windows на Linux. За 5 дней участники на виртуальных стендах создадут резервную копию данных, установят «Simply Linux» и перенесут данные в Linux. На занятиях будет вестись речь о Linux в общем и российских операционных системах в частности, о резервных копиях, знакомых и не знакомых приложениях, настройке графической оболочки, консоли и настройке подключения к сети. Предполагается, что интенсив даст участникам импульс для того, чтобы начать работать в Linux и приступить к подготовке к детско-юношеским соревнованиям по Linux: ТехноКАКтус, ALT-SKILLS и CacTUX. … Читать далее Новогодний интенсив по Linux для учеников 7-8 классов

Спустя 10 лет с момента основания ветки 10.x представлен выпуск СУБД MariaDB 11.0.0, в котором предложено несколько значительных улучшений и изменений, нарушающих совместимость. Ветка пока имеет качество альфа-выпуска и станет готовой для рабочих применений после проведения стабилизации. Формирование следующей значительной ветки MariaDB 12, содержащей изменения, нарушающие совместимость, ожидается не ранее чем через 10 лет (в 2032 году). Проектом MariaDB развивается ответвление от MySQL, по возможности сохраняющее обратную совместимость и отличающееся интеграцией дополнительных движков хранения и расширенных возможностей. Развитие MariaDB курирует независимая организация MariaDB Foundation в соответствии с открытым и прозрачным процессом разработки, не зависящим от отдельных производителей. СУБД MariaDB поставляется … Читать далее Представлена новая значительная ветка СУБД MariaDB 11

В рамках проекта FPDoom подготовлен порт игры Doom для кнопочных телефонов на чипе Spreadtrum SC6531. Модификации чипа Spreadtrum SC6531 занимают около половины рынка дешёвых кнопочных телефонов российских брендов (как правило, остальные на MediaTek MT6261). В основе чипа процессор ARM926EJ-S с частотой 208 МГц (SC6531E) или 312 МГц (SC6531DA), архитектура процессора ARMv5TEJ. Сложность портирования обусловлена следующими факторами: Сторонние приложения на этих телефонах не предусмотрены. Малый объём ОЗУ — всего 4 мегабайта (бренды/продавцы часто указывают это как 32МБ — но это введение в заблуждение, так как имеются в виду мегабиты, а не мегабайты). Закрытая документация (можно найти только утечку ранней и неполноценной … Читать далее Опубликован код порта Doom для кнопочных телефонов на чипе Spreadtrum SC6531

Группа исследователей из пяти американских университетов разработала технику атаки по сторонним каналам EarSpy, позволяющую организовать прослушивание ведущихся на телефоне разговоров, через анализ информации от датчиков движения. Метод основан на том, что современные смартфоны комплектуются достаточно чувствительными акселерометром и гироскопом, которые реагируют и на колебания, наводимые маломощным громкоговорителем устройства, применяемым при общении без громкой связи. Используя методы машинного обучения исследователем удалось на основе полученной от датчиков движения информации частично восстановить звучащую на устройстве речь и определить пол говорившего. Ранее считалось, что атаки по сторонним каналам c привлечением датчиков движения могут быть осуществлены только при использовании мощных динамиков, применяемых для громкой связи, … Читать далее Использование датчиков движения смартфона для прослушивания разговоров

Стартап Exaloop опубликовал код проекта Codon, развивающего компилятор для языка Python, способный генерировать на выходе чистый машинный код, не привязанный к Python runtime. Компилятор развивается авторами Python-подобного языка Seq и позиционируется как продолжение его развития. Проектом также предлагается собственный runtime для исполняемых файлов и библиотека функций, заменяющая библиотечные вызовы на языке Python. Исходные тексты компилятора, runtime и стандартной библиотеки написаны с использованием языков C++ (с привлечением наработок из LLVM) и Python, и распространяются под лицензией BSL (Business Source License). Лицензия BSL была предложена сооснователями MySQL в качестве альтернативы модели Open Core. Суть BSL в том, что код расширенной функциональности изначально … Читать далее Опубликован Codon, компилятор для языка Python

Опубликован выпуск проекта ShellCheck 0.9, развивающего систему статического анализа shell-скриптов, поддерживающую выявление ошибок в скриптах с учётом особенностей bash, sh, ksh и dash. Код проекта написан на языке Haskell и распространяется под лицензией GPLv3. Предоставляются компоненты для интеграции с Vim, Emacs, VSCode, Sublime, Atom и различными интегрированными средами, поддерживающими GCC-совместимый вывод сведений об ошибках. Поддерживается выявление в коде как синтаксических ошибок, приводящих к выводу интерпретатором ошибки в момент выполнения, так и семантических проблем, из-за которых выполнение не нарушается, но возникают аномалии в поведении скрипта. Анализатор также может определять узкие места, неочевидные проблемы и подводные камни, которые могут приводить к сбоям … Читать далее Доступен ShellCheck 0.9, статический анализатор для shell-скриптов

Доступен дистрибутив AV Linux MX 21.2, содержащий подборку приложений для создания/обработки мультимедийного контента. Дистрибутив собран из исходных текстов с использованием инструментария, применяемого для сборки MX Linux, и дополнительных пакетов собственной сборки (Polyphone, Shuriken, Simple Screen Recorder и т.п.). AV Linux может функционировать в Live-режиме и доступен для архитектуры x86_64 (3.9 ГБ). Пользовательское окружение основано на Xfce4. В поставку входят звуковые редакторы Ardour, ArdourVST, Harrison, Mixbus, система 3D-проектирования Blender, редакторы видео Cinelerra, Openshot, LiVES и инструменты для преобразования мультимедийных форматов файлов. Для коммутации звуковых устройств предлагается JACK Audio Connection Kit (используется JACK1/Qjackctl, а не JACK2/Cadence). Дистрибутив снабжён подробным иллюстрированным руководством (PDF, … Читать далее Опубликованы дистрибутивы AV Linux MX 21.2, MXDE-EFL 21.2 и Daphile 22.12

Компания Google представила библиотеку magritte, предназначенную для автоматического скрытия лиц на фотографиях и видео, например, для обеспечения требований по сохранению конфиденциальности людей, случайно попавших в кадр. Скрытие лиц имеет смысл при формировании коллекций изображений и видео, передаваемых для анализа сторонним исследователям или размещаемым публично (например, при публикации панорам и фотографий в Google Maps или при обмене данными для тренировки систем машинного обучения). Библиотека использует методы машинного обучения для выявления объектов в кадре и оформлена как надстройка над фреймворком MediaPipe, который использует TensorFlow. Код написан на языке С++ и распространяется под лицензией Apache 2.0. Библиотека отличается низким потреблением процессорных ресусров и … Читать далее Google опубликовал библиотеку Magritte для скрытия лиц на видео и фотографиях

Доступен релиз видеоредактора Shotcut 22.12, который развивается автором проекта MLT и использует данный фреймворк для организации редактирования видео. Поддержка форматов видео и звука реализована через FFmpeg. Возможно использование плагинов с реализацией видео и аудио эффектов, совместимых с Frei0r и LADSPA. Из особенностей Shotcut можно отметить возможность многотрекового редактирования с компоновкой видео из фрагментов в различных исходных форматах, без необходимости их предварительного импортирования или перекодирования. Имеются встроенные средства для создания скринкастов, обработки изображения с web-камеры и приёма потокового видео. Для построения интерфейса применяется Qt5. Код написан на C++ и распространяется под лицензией GPLv3. Готовые сборки доступны для Linux (AppImage, flatpak и … Читать далее Выпуск видеоредактора Shotcut 22.12

Состоялся релиз Ruby 3.2.0, динамического объектно-ориентированного языка программирования, отличающегося высокой эффективностью разработки программ и вобравшего в себя лучшие черты Perl, Java, Python, Smalltalk, Eiffel, Ada и Lisp. Код проекта распространяется под лицензиями BSD («2-clause BSDL») и «Ruby», которая ссылается на последний вариант лицензии GPL и полностью совместима с GPLv3. Основные улучшения: Добавлен начальный порт интерпретатора CRuby, компилируемого в промежуточный код WebAssembly для запуската в web-браузере или под управлением обособленных runtime, таких как wasmtime. Для прямого взаимодействия с операционной системой при обособленном запуске используется API WASI (WebAssembly System Interface). Среди прочего предоставлена VFS обвязка поверх WASI, позволяющая упаковывать целиком всё приложение … Читать далее Выпуск языка программирования Ruby 3.2

После полутора лет разработки опубликован четвёртый бета-выпуск операционной системы Haiku R1. Изначально проект был создан как реакция на закрытие ОС BeOS и развивался под именем OpenBeOS, но был переименован в 2004 году из-за претензий, связанных с использованием в названии торговой марки BeOS. Для оценки работы нового выпуска подготовлено несколько загрузочных Live-образов (x86, x86-64). Исходные тексты большей части ОС Haiku распространяются под свободной лицензией MIT, исключение составляют некоторые библиотеки, медиа-кодеки и компоненты, заимствованные из других проектов. ОС Haiku ориентирована на персональные компьютеры, использует собственное ядро, построенное на основе модульной архитектуры, оптимизированное для высокой отзывчивости на действия пользователя и эффективного выполнения многопоточных … Читать далее Четвёртый бета-выпуск операционной системы Haiku R1

Состоялся релиз дистрибутива Manjaro Linux 21.3, построенного на основе Arch Linux и ориентированного на начинающих пользователей. Дистрибутив примечателен наличием упрощённого и дружественного пользователю процесса установки, поддержкой автоматического определения оборудования и установки необходимых для его работы драйверов. Manjaro поставляется в виде live-сборок с графическими окружениями KDE (3.5 ГБ), GNOME (3.3 ГБ) и Xfce (3.2 ГБ). При участии сообщества дополнительно развиваются сборки с Budgie, Cinnamon, Deepin, LXDE, LXQt, MATE и i3. Для управления репозиториями в Manjaro используется собственный инструментарий BoxIt, спроектированный по образу Git. Репозиторий поддерживается по принципу непрерывного включения обновлений (rolling), но новые версии проходят дополнительную стадию стабилизации. Кроме собственного репозитория, … Читать далее Релиз дистрибутива Manjaro Linux 22.0

Доступен выпуск проекта VCMI 1.1, развивающего открытый игровой движок, совместимый с форматом данных, используемым в играх Heroes of Might and Magic III. Важной целью проекта также является поддержка модов, при помощи которых имеется возможность добавлять в игру новые города, героев, монстров, артефакты и заклинания. Исходные тексты распространяются под лицензией GPLv2. Поддерживается работа в Linux, Windows, macOS и Android. В новой версии: Добавлена поддержка платформы iOS. Предоставлена возможность многопользовательской игры в локальной сети или через интернет. Редактор карт переписан с целью реализации многоплатформенности и поддержки модов. Проведена работа по улучшению игрового движка и исправлению ошибок. Добавлена поддержка стрельбы лучами. Реализованы пикторграммы … Читать далее Выпуск открытого игрового движка VCMI 1.1.0, совместимого с Heroes of Might and Magic III

Опубликован релиз сборочной системы Meson 1.0.0, которая используется для сборки таких проектов, как X.Org Server, Mesa, Lighttpd, systemd, GStreamer, Wayland, GNOME и GTK. Код Meson написан на языке Python и поставляется под лицензией Apache 2.0. Ключевой целью развития Meson является обеспечение высокой скорости сборочного процесса в сочетании с удобством и простотой использования. Вместо утилиты make при сборке по умолчанию применяется инструментарий Ninja, но возможно применение и других бэкендов, таких как xcode и VisualStudio. В систему встроен многоплатформенный обработчик зависимостей, позволяющий использовать Meson для сборки пакетов для дистрибутивов. Правила сборки задаются на упрощённом предметно-ориентированном языке, отличаются хорошей читаемостью и понятны пользователю … Читать далее Выпуск сборочной системы Meson 1.0

Компания Intel опубликовала начальную версию нового драйвера для ядра Linux — Xe, предназначенного для использования с интегрированными GPU и дискретными видеокартами на базе архитектуры Intel Xe, которая используется в интегрированной графике начиная с процессоров Tiger Lake и в отдельных видеокартах семейства Arc. В качестве цели разработки драйвера названо предоставление основы для обеспечения поддержки новых чипов, не привязанной к коду для поддержки старых платформ. Также заявлено более активное совместное использование кода Xe с другими компонентами подсистемы DRM (Direct Rendering Manager). Код изначально рассчитан на поддержку различных аппаратных архитектур и доступен для тестирования на системах x86 и ARM. Реализация пока рассматривается как … Читать далее Компания Intel опубликовала Xe, новый Linux-драйвер для своих GPU

Разработчики менеджера паролей LastPass, которым пользуется более 33 млн человек и более 100 тысяч компаний, уведомили пользователей об инциденте, в результате которого атакующим удалось получить доступ к резервным копиям хранилища с данными пользователей сервиса. Данные включали такие сведения, как имя, адрес, email, телефон и IP-адреса с которых был вход в сервис, а также сохранённые в менеджере паролей незашифрованные имена сайтов и сохранённые зашифрованные пароли к ним. Для защиты паролей к сайтам использовалось шифрование AES с 256-разрядным ключом, генерируемым с использованием функции PBKDF2 на основе известного только пользователю мастер-пароля, размером минимум 12 символов. Шифрование и расшифровка паролей в LastPass осуществляется только … Читать далее Утечка резервных копий с данными пользователей LastPass

Опубликован выпуск пакетного фильтра nftables 1.0.6, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный … Читать далее Выпуск пакетного фильтра nftables 1.0.6

В модуле ksmbd, включающем встроенную в ядро Linux реализацию файлового сервера на базе протокола SMB, выявлена критическая уязвимость, позволяющая удалённо добиться выполнения своего кода с правами ядра. Атака может быть проведена без аутентификации, достаточно чтобы на системе был активирован модуль ksmbd. Проблема проявляется начиная с ядра 5.15, выпущенного в ноябре 2021 года, и без лишней огласки устранена в обновлениях 5.15.61, 5.18.18 и 5.19.2, сформированных в августе 2022 года. Так как CVE-идентификатор проблеме ещё не присвоен, точной информации об устранении проблемы в дистрибутивах ещё нет. Детали об эксплуатации уязвимости пока не раскрываются, известно только то, что уязвимость вызвана обращением к уже … Читать далее Уязвимость в модуле ksmbd ядра Linux, позволяющая удалённо выполнить свой код

Компания Corsair отреагировала на проблемы в игровых клавиатурах Corsair K100, которые были восприняты многими пользователями как свидетельство наличие встроенного кейлоггера, сохраняющего введённые пользователем последовательности нажатий. Суть проблемы в том, что пользователи указанной модели клавиатуры сталкивались с ситуацией, когда в непредсказуемое время клавиатура повторно выдавала последовательности, введённые когда-то ранее. При этом, текст повторно автоматически набирался спустя несколько дней или недель, а иногда выдавались достаточно длительные последовательности, остановить вывод которых удавалось только отключив клавиатуру. Изначально, предполагалось, что проблема вызвана наличием вредоносного ПО на системах пользователей, но позднее было показано, что эффект специфичен для обладателей клавиатуры Corsair K100 и проявляется в созданных для … Читать далее Ошибка в прошивке клавиатуры Corsair K100, напоминающая кейлоггер