Компания Kudelski Security, специализирующаяся на проведении аудита безопасности, опубликовала инструментарий Shufflecake, который позволяет создавать скрытые файловые системы, размазанные по имеющемуся свободному пространству в существующих разделах и не отличимые от случайных остаточных данных. Разделы создаются таким образом, что не зная ключ доступа существование их проблематично доказать даже при проведении криминалистического анализа. Код утилит (shufflecake-userland) и модуля ядра Linux (dm-sflc) написан на языке Си и распространяется под лицензией GPLv3, что делает невозможным включение опубликованного модуля ядра в основной состав ядра Linux из-за несовместимости с лицензией GPLv2, под которой поставляется ядро. Проект позиционируется как более совершенное, чем Truecrypt и Veracrypt, решение для скрытия … Читать далее Опубликован Shufflecake, инструментарий для создания скрытых шифрованных разделов на диске

Состоялся выпуск открытого видеоплеера MPV 0.35, в 2013 году ответвившегося от кодовой базы проекта MPlayer2. В MPV основное внимание уделяется разработке новых возможностей и обеспечению постоянного переноса новшеств из репозиториев MPlayer, не заботясь о сохранении совместимости с MPlayer. Код MPV распространяется под лицензией LGPLv2.1+, некоторые части остаются под GPLv2, но процесс перехода на LGPL почти завершён и для отключения остающегося GPL-кода можно использовать опцию «—enable-lgpl». Среди изменений в новой версии: Добавлен новый модуль вывода vo_gpu_next, построенный на основе libplacebo и использующий шейдеры и графические API Vulkan, OpenGL, Metal или Direct3D 11 для обработки и отрисовки видео. Добавлена поддержка сборочной системы … Читать далее Релиз видеоплеера MPV 0.35

Компания Google опубликовала выпуск аудиокодека Lyra 1.3, нацеленного достижение высокого качества передачи голоса в условиях ограниченного объёма передаваемой информации. Для решения поставленной задачи помимо обычных методов сжатия звука и преобразования сигналов, в Lyra применяется речевая модель на базе системы машинного обучения, позволяющая воссоздать недостающую информацию на основе типовых характеристик речи. Эталонная реализация кода написана на C++ и распространяется под лицензией Apache 2.0. В отличие от предложенного в октябре выпуска Lyra 1.2, переведённого на новую архитектуру нейронной сети, в версии 1.3 проведена оптимизация модели машинного обучения без кардинальных архитектурных изменений. В новой версии для хранения весов и арифметических операций вместо 32-разрядных … Читать далее Обновление открытого аудиокодека Lyra 1.3

В эмуляторе терминала xterm выявлена уязвимость (CVE-2022-45063), позволяющая добиться исполнения shell-команд при обработке в терминале определённых escape-последовательностей. Для атаки в простейшем случае достаточно вывести на экран содержимое специально оформленного файла, например, при помощи утилиты cat, или вставить строку из буфера обмена. printf «e]50;i$(touch /tmp/hack-like-its-1999)ae]50;?a» > cve-2022-45063 cat cve-2022-45063 Проблема вызвана ошибкой при обработке escape-последовательности с кодом 50, применяемой для установки или получения параметров шрифта. Если запрошенный шрифт не существует, операция возвращает заданное в запросе имя шрифта. Напрямую управляющие символы вставить в имя нельзя, но возвращаемая строка может быть завершена последовательностью «^G», которая в zsh при активности режима редактирования строк в … Читать далее Уязвимость в xterm, приводящая к выполнению кода при обработке определённых строк

Опубликован инструментарий Wa-tunnel, позволяющий пробрасывать TCP-трафик через другой хост, используя туннель, работающий поверх мессенджера WhatsApp. Подобные манипуляции могут оказаться полезными при необходимости получения доступа к внешней сети из окружений, в которых доступен только мессенджер, или для экономии трафика при подключении к сетям или провайдерам, предоставляющим безлимитные опции для трафика мессенджеров (например, неограниченный доступ к WhatsApp предоставляется в бортовых сетях самолётов некоторых авиакомпаний). Код написан на языке JavaScript с использованием Node.js и распространяется под лицензией MIT. Для взаимодействия с API WhatsApp используется библиотека Baileys. Для организации туннеля требуются две учётные записи в WhatsApp — одна используется на стороне клиента, а другая … Читать далее Опубликован Wa-tunnel для туннелирования трафика через мессенджер WhatsApp

Состоялся экспериментальный выпуск открытой реализации WinAPI — Wine 7.21. С момента выпуска версии 7.20 было закрыто 25 отчётов об ошибках и внесено 354 изменения. Наиболее важные изменения: Библиотека OpenGL переведена на использование формата исполняемых файлов PE (Portable Executable) вместо ELF. Добавлена поддержка многоархитектурных сборок в формате PE. Проведена подготовка к поддержке запуска 32-разрядных программ, использующих графический API Vulkan, в 64-разрядном окружении. Предоставлена возможность импортирования библиотек без использования утилиты dlltool. Обновлены данные локалей. Закрыты отчёты об ошибках, связанные с работой игр: StarBurn 13, Euphoria, Darksiders Genesis, The Medium, Hotel Giant 2, Port Royale 2, Gothic 1. Закрыты отчёты об ошибках, связанные … Читать далее Выпуск Wine 7.21 и GE-Proton7-41

В платформе Android выявлена уязвимость (CVE-2022-20465), позволяющая отключить блокировку экрана путём перестановки SIM-карты и ввода PUK-кода. Возможность отключения блокировки продемонстрирована на устройствах Google Pixel, но так как исправление затрагивает основную кодовую базу Android, вероятно, что проблема касается и прошивок от других производителей. Проблема устранена в ноябрьском наборе исправлений проблем с безопасностью для Android. Обративший внимание не проблему исследователь получил от компании Google вознаграждение, размером 70 тысяч долларов. Проблема вызвана неверной обработкой разблокировки после введения PUK-кода (Personal Unblocking Key), применяемого для возобновления работы SIM-карты, заблокированной после многократного неверного введения PIN-кода. Для отключения блокировки экрана достаточно установить в телефон свою SIM-карту, в … Читать далее Уязвимость в Android, позволяющая обойти блокировку экрана

GitHub опубликовал отчёт с анализом статистики за 2022 год. Основные тенденции: За 2022 год было создано 85.7 млн новых репозиториев (за 2021 год — 61 млн, за 2020 — 60 млн), принято более 227 млн pull-запросов и закрыто 31 млн уведомлений о проблемах (issue). В GitHub Actions за год выполнено 263 млн автоматизированных работ. Общее число репозиториев достигло отметки в 339 млн. Общий вклад участников во все проекты оценивается в 3.5 миллиарда действий (коммиты, issue, pull-запросы, обсуждения, рецензии и т.п.). За 2022 год выполнено 413 млн подобных действий. Аудитория GitHub за год выросла на 20.5 млн пользователей и достигла 94 … Читать далее GitHub опубликовал статистику за 2022 год и представил программу грантов открытым проектам

Сформирован выпуск дистрибутива AlmaLinux 8.7, синхронизированный c дистрибутивом Red Hat Enterprise Linux 8.7 и содержащий все предложенные в данном выпуске изменения. Сборки подготовлены для архитектур x86_64, ARM64, s390x и ppc64le в форме загрузочного (820 МБ), минимального (1.7 ГБ) и полного образа (11 ГБ). Позднее планируют сформировать Live-сборки, а также образы для плат Raspberry Pi, WSL, контейнеров и облачных платформ. Дистрибутив полностью бинарно совместим с Red Hat Enterprise Linux 8.7 и может использоваться в качестве прозрачной замены CentOS 8. Изменения сводятся к ребрендингу, удалению специфичных для RHEL пакетов, таких как redhat-*, insights-client и subscription-manager-migration*. Дистрибутив AlmaLinux основан компанией CloudLinux в ответ … Читать далее Доступен дистрибутив AlmaLinux 8.7, продолжающий развитие CentOS 8

Компания Red Hat опубликовала релиз Red Hat Enterprise Linux 8.7. Установочные сборки подготовлены для архитектур x86_64, s390x (IBM System z), ppc64le и Aarch64, но доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal. Исходные тексты rpm-пакетов Red Hat Enterprise Linux 8 распространяются через Git-репозиторий CentOS. Ветка 8.x сопровождается параллельно с веткой RHEL 9.x и будет поддерживаться как минимум до 2029 года. Подготовка новых выпусков осуществляется в соответствии с циклом разработки, подразумевающим формирование релизов раз в полгода в заранее определённое время. До 2024 года ветка 8.x будет находится на стадии полной поддержки, подразумевающей включение функциональных улучшений, после чего перейдёт на … Читать далее Релиз дистрибутива Red Hat Enterprise Linux 8.7

Доступен выпуск прослойки DXVK 2.0, предоставляющей реализацию DXGI (DirectX Graphics Infrastructure), Direct3D 9, 10 и 11, работающую через трансляцию вызовов в API Vulkan. Для использования DXVK требуется наличие драйверов с поддержкой API Vulkan 1.3, таких как Mesa RADV 22.0, NVIDIA 510.47.03, Intel ANV 22.0 и AMDVLK. DXVK может применяться для запуска 3D-приложений и игр в Linux при помощи Wine, выступая в качестве более высокопроизводительной альтернативы встроенных в Wine реализаций Direct3D 9/10/11, работающих поверх OpenGL. Основные изменения: Повышены требования к версии графического API Vulkan — для работы теперь требуется драйвер с поддержкой Vulkan 1.3 (ранее был необходим Vulkan 1.1), что позволило … Читать далее Выпуск DXVK 2.0, реализации Direct3D 9/10/11 поверх API Vulkan

Компания Microsoft представила значительный выпуск открытой платформы .NET 7, созданной благодаря унификации продуктов .NET Framework, .NET Core и Mono. На основе .NET 7 можно создавать многоплатформенные приложения для браузера, облачных систем, рабочего стола, IoT-устройств и мобильных платформ, используя единые библиотеки и общий процесс сборки, не зависящий от типа приложения. Сборки .NET SDK 7, .NET Runtime 7 и ASP.NET Core Runtime 7 сформированы для Linux, macOS и Windows. .NET Desktop Runtime 6 поставляется только для Windows. Связанные с проектом наработки распространяются под лицензией MIT. Сопровождение ветки .NET 7 будут осуществляться в течение 18 месяцев до 14 мая 2024 года. В состав … Читать далее Microsoft опубликовал открытую платформу .NET 7

Джейсон Доненфилд (Jason A. Donenfeld), автор VPN WireGuard, обратил внимание разработчиков на присутствующий в коде ядра Linux грязный хак, изменяющий поведение для процессов, имя которых начинается на символ «X». На первый взгляд подобные исправления обычно применяются в руткитах для оставления скрытой лазейки в привязке к процессу, но разбор показал, что изменение было добавлено в 2019 году для временного устранения всплывшего нарушения совместимости с пространством пользователя, в соответствии с принципом, что изменения в ядре не должны нарушать совместимость с приложениями. Проблемы возникали при попытке использования механизма атомарного изменения видеорежима в применяемом в X.Org-сервере DDX-драйвере xf86-video-modesetting, чем и была обусловлена привязка к … Читать далее Избавление ядра Linux от кода, меняющего поведение для процессов, начинающихся на символ X

Компания Altair в рамках проекта OpenRADIOSS открыла исходные тексты пакета RADIOSS, который является аналогом LS-DYNA и предназначен для решения задач механики сплошных сред, таких как расчёт прочности инженерных конструкций в высоконелинейных задачах, связанных с большими пластическими деформациями исследуемой среды. Код открыт пол лицензией AGPLv3. К решаемым проектом задачам относятся проблемы обработки металлов давлением, листовой штамповки, быстропротекающие процессы, требующие наличия уравнения состояния. Дополнительно поддерживается механика жидкости и газа в классической эйлеровской формулировке, подходом Лагранжа-Эйлера и методом сглаженных частиц. Отличие OpenRADIOSS от коммерческой версии RADIOSS на текущий момент заключается в отсутствии возможности шифровать файлы проекта. В качестве постпроцессора используется ParaView. Источник: http://www.opennet.ru/opennews/art.shtml?num=58080 Читать далее Опубликованы исходные тексты инженерного пакета RADIOSS

Платформа совместной разработки SourceHut анонсировала предстоящее изменение условий использования. Новые условия, которые начнут действовать с 1 января 2023 года, запрещают размещение содержимого, связанного с криптовалютами и блокчейном. После начала действия новых условий в том числе планируют удалить все ранее размещённые подобные проекты. По отдельному запросу в службу поддержки для легальных и полезных проектов может быть сделано исключение. Также допускается восстановление удалённых проектов после рассмотрения апелляций. Приём пожертвований в криптовалюте не подпадает под запрет, хотя и выделен как не рекомендованный способ поддержки. В качестве причины запрета криптовалют называется обилие мошеннических, криминальных, вредоносных и вводящих в заблуждение разработок в этой сфере, что … Читать далее Платформа совместной разработки SourceHut запрещает размещение проектов, связанных с криптовалютами

Состоялся релиз Phosh 0.22.0, экранной оболочки для мобильных устройств, основанной на технологиях GNOME и библиотеке GTK. Окружение изначально развивалось компанией Purism в качестве аналога GNOME Shell для смартфона Librem 5, но затем вошло в число неофициальных проектов GNOME и теперь также используется в postmarketOS, Mobian, некоторых прошивках для устройств Pine64 и редакции Fedora для смартфонов. Phosh использует композитный сервер Phoc, работающий поверх Wayland, а также собственную экранную клавиатуру squeekboard. Наработки проекта распространяются под лицензией GPLv3+. В новом выпуске обновлён визуальный стиль и изменено оформление кнопок. В индикаторе заряда аккумулятора реализована градация изменения состояния с шагом 10%. В уведомлениях, размещаемых на … Читать далее Выпуск Phosh 0.22, GNOME-окружения для смартфонов. Сборки Fedora для мобильных устройств

Представлен релиз Linux-дистрибутива Clonezilla Live 3.0.2, предназначенного для быстрого клонирования дисков (копируются только используемые блоки). Задачи, выполняемые дистрибутивом сходны с проприетарным продуктом Norton Ghost. Размер iso-образа дистрибутива — 363 МБ (i686, amd64). Дистрибутив основан на Debian GNU/Linux и в своей работе использует код таких проектов, как DRBL, Partition Image, ntfsclone, partclone, udpcast. Возможна загрузка с CD/DVD, USB Flash и по сети (PXE). Поддерживаются LVM2 и ФС ext2, ext3, ext4, reiserfs, reiser4, xfs, jfs, btrfs, f2fs, nilfs2, FAT12, FAT16, FAT32, NTFS, HFS+, UFS, minix, VMFS3 и VMFS5 (VMWare ESX). Имеется режим массового клонирования по сети, в том числе с передачей трафика … Читать далее Выпуск дистрибутива Clonezilla Live 3.0.2

Раскрыта информация об уязвимости (CVE-2021-33164) в прошивках UEFI, позволяющей выполнить код на уровне SMM (System Management Mode), более приоритетном, чем режим гипервизора и нулевое кольцо защиты, и предоставляющем неограниченный доступ ко всей системной памяти. Уязвимость, которая получила кодовое имя RingHopper, связана с возможностью проведения атаки по времени при помощи DMA (Direct Memory Access) для повреждения памяти в коде, выполняемом на уровне SMM. Наличие уязвимости подтверждено в прошивках Intel, Dell и Insyde Software (утверждается, что проблема затрагивает 8 производителей, но остальные 5 пока не раскрываются). Прошивки AMD, Phoenix и Toshiba проблеме не подвержены. Эксплуатация уявзимостей может быть совершена из операционной системы, … Читать далее Уязвимость в прошивках UEFI, позволяющая выполнить код на уровне SMM

Представлен релиз свободной системы документирования GNU Texinfo 7.0, изначально разработанной Ричардом Столлманом и используемой для подготовки документации для проектов GNU. GNU Texinfo определяет специальный формат разметки для оформления документации и позволяет преобразовать исходный документ в различные форматы для публикации и печати, например, в PDF, HTML, DVI, Info, DocBook, XML и т.п. В новом выпуске значительно расширены возможности утилиты texi2any, в которой решены проблемы с кодировками, реализованы опции «—latex» и «—epub3» для вывода в форматах LaTeX и EPUB 3, значительно улучшена поддержка вывода в формате HTML. Добавлены новые команды @latex, @iflatex, @ifnotlatex для вывода в формате LaTeX. В утилите info улучшена … Читать далее Доступен пакет GNU Texinfo 7.0

В каталоге PyPI (Python Package Index) выявлено 26 вредоносных пакетов, содержащих в скрипте setup.py обфусцированный код, определяющий наличие идентификаторов криптокошельков в буфере обмена и меняющий их на кошелёк злоумышленника (предполагается, что при совершении оплаты жертва не заметит, что перенесённый через буфер обмена номер кошелька отличается). Подмену выполняет сценарий JavaScript, который после установки вредоносного пакета встраивается в браузер в форме браузерного дополнения, которое выполняется в контексте каждой просматриваемой web-страницы. Процесс установки дополнения привязан к платформе Windows и реализован для браузеров Chrome, Edge и Brave. Поддерживается подмена кошельков для криптовалют ETH, BTC, BNB, LTC и TRX. Вредоносные пакеты маскируются в каталоге PyPI … Читать далее В репозитории PyPI выявлены вредоносные пакеты, нацеленные на кражу криптовалюты

Опубликован выпуск открытого игрового движка engge2 2.0, который можно использовать вместо проприетарного движка для прохождения квеста Thimbleweed Park. Для работы требуются файлы с игровыми ресурсами, входящие в оригинальную поставку Thimbleweed Park. Код движка написан на языках Lua и Nim, и распространяется под лицензией MIT. Готовые сборки сформированы для Linux, macOS и Windows. Движок engge2 продолжает развитие проекта engge и отличается полным переписыванием с нуля и переходом на использование языков Lua и Nim. Версия 2.0 является первым выпуском проекта, номер 1.0 был пропущен для более явного отделения от старого движка, в котором использовался язык C++. Для работы с графикой в engge2 … Читать далее Выпуск engge2, открытого движка для игры Thimbleweed Park