История с удалением из репозитория NPM трёх вредоносных пакетов, копировавших код библиотеки UAParser.js, получила неожиданное продолжение — неизвестные злоумышленники захватили контроль над учётной записью автора проекта UAParser.js и выпустили обновления, содержащие код для кражи паролей и майнинга криптовалют. Проблема в том, что библиотека UAParser.js, которая предлагает функции для разбора HTTP-заголовка User-Agent, насчитывает около 8 млн загрузок в неделю и используется в качестве зависимости в более чем 1200 проектах. Заявлено, что UAParser.js применяется в проектах таких компаний, как Microsoft, Amazon, Facebook, Slack, Discord, Mozilla, Apple, ProtonMail, Autodesk, Reddit, Vimeo, Uber, Dell, IBM, Siemens, Oracle, HP и Verison. Атака была совершена через … Читать далее В NPM-пакет UAParser.js, насчитывающий 8 млн загрузок в неделю, внедрено вредоносное ПО

Правительство РФ опубликовало постановление «Об утверждении Правил идентификации пользователей информационно-телекоммуникационной сети «Интернет» организатором сервиса обмена мгновенными сообщениями» (PDF), в котором вводятся новые требования к регистрации российских пользователей в мессенджерах. Постановление предписывает начиная с 1 марта 2022 года запрашивать у новых пользователей номер телефона, верифицировать его через отправку SMS или проверочный звонок, после чего формировать запрос оператору связи для проверки наличия в его базе паспортных данных, привязанных к указанному пользователем номеру телефона. В регистрации должно быть отказано при отсутствии паспортных данных в базе оператора , если абонент не найден или если оператор не вернул ответ в течение 20 минут. При наличии … Читать далее В РФ утверждено требование наличия паспортных данных при регистрации в мессенджерах

Компания Microsoft перешла к практике удаления ранее открытого кода из состава платформы .NET. В частности, из открытой кодовой базы, в которой велась разработка новой ветки платформы .NET 6, была удалена реализация функции Hot Reload, изначально предложенной не только в среде разработки Visual Studio 2019 16.11 (Preview 1), но и в открытой утилите «dotnet watch». В качестве причины удаления упоминается решение поставлять указанную функции только в коммерческом продукте Visual Studio 2022, чтобы повысить его привлекательность по сравнению с открытым редактором Visual Studio Code. Примечательно, что 21 октября в заметке с анонсом Hot Reload появилось дополнение, в котором говорилось, что поддержка Hot … Читать далее Microsoft удалил функциональность Hot Reload из открытого .NET для поставки только в Visual Studio 2022

Состоялся выпуск экспериментальной ветки открытой реализации WinAPI — Wine 6.20. С момента выпуска версии 6.19 было закрыто 29 отчётов об ошибках и внесено 399 изменений. Наиболее важные изменения: В формат PE (Portable Executable) преобразованы MSXml, XAudio, DInput и некоторые другие модули. В состав включены некоторые системные библиотеки для поддержи сборок на базе формата PE. В DirectInput оставлена поддержка только нового бэкенда для джойстиков, поддерживающих протокол HID (Human Interface Devices). В Winelib улучшекена поддержка сборок MSVCRT. Закрыты отчёты об ошибках, связанные с работой игр: Emergency 3, Need For Speed Most Wanted 2005, Path of Exile, Victor Vran, Diablo 2: Resurrected, Rise … Читать далее Выпуск Wine 6.20 и Wine staging 6.20

В пакете GPSD, применяемом для извлечения точного времени и данных о координатах из GPS-устройств, выявлена критическая проблема, из-за которой 24 октября произойдёт смещение времени на 1024 недели назад, т.е. время будет переведено на март 2002 года. Проблема проявляется в выпусках с 3.20 по 3.22 включительно и устранена в выпуске GPSD 3.23 (исправление также бэкпортировано в пакет с версией 3.22 для Debian). Всем пользователям систем, в которых используется GPSD, необходимо срочно установить обновления, или быть готовым к сбою. Эффект от ошибки может привести к непредсказуемым сбоям на разных системах, в том числе напрямую не использующих GPSD, так как данное приложение применяется … Читать далее Ошибка в GPSD в это воскресенье переведёт к сдвигу времени на 19 лет назад

Компании ООО «РусБИТех-Астра» представила дистрибутив Astra Linux Special Edition 1.7, который представляет сборку специального назначения, обеспечивающую защиту конфиденциальной информации и государственной тайны до уровня «особой важности». Пользовательское окружение построено на основе проприетарного рабочего стола Fly (интерактивная демонстрация) с компонентами, использующими библиотеку Qt. Дистрибутив распространяется в рамках лицензионного соглашения, которое накладывает ряд ограничений на пользователей, в частности, запрещены коммерческое использование без заключения лицензионного договора, декомпиляция и дизассемблирование продукта. Оригинальные, реализованные специально для Astra Linux, алгоритмы работы и исходные коды отнесены к категории коммерческой тайны. Пользователю предоставляется возможность воспроизведения только одного экземпляра продукта на одном компьютере иди виртуальной машине, а также даётся … Читать далее Доступен защищённый российский дистрибутив Astra Linux Special Edition 1.7

Исследователи из Оборонного научно-технического университета Народно-освободительной армии Китая, Национального университета Сингапура и Швейцарской высшей технической школы Цюриха разработали новый метод атаки на изолированные анклавы Intel SGX (Software Guard eXtensions). Атака получила название SmashEx и вызвана проблемами с реентерабельностью при обработке исключительных ситуаций в процессе работы runtime-компонентов для Intel SGX. Предложенный метод атаки даёт возможность при наличии контроля за операционной системой определить конфиденциальные данные, размещённые в анклаве, или организовать копирование своего кода в память анклава и его исполнение. Прототипы эксплоитов подготовлены для анклавов с runtime на базе Intel SGX SDK (CVE-2021-0186) и Microsoft Open Enclave (CVE-2021-33767). В первом случае продемонстрирована возможность … Читать далее Атака на Intel SGX, позволяющая извлечь конфиденциальные данные или выполнить код в анклаве

Даниэль Колеса (Daniel Kolesa) из компании Igalia, принимающий участие в разработке проектов Void Linux, WebKit и Enlightenment, развивает новый дистрибутив Chimera Linux. Проект используется ядро Linux, но вместо инструментария GNU формирует окружение пользователя на основе начинки базовой системы FreeBSD, а для сборки использует LLVM. Дистрибутив изначально развивается как кроссплатформенный и поддерживает архитектуры x86_64, ppc64le, aarch64, riscv64 и ppc64. В качестве цели проекта называется желание предоставить Linux-дистрибутив с альтернативным инструментарием и учесть при создании нового дистрибутива опыт разработки Void Linux. По мнению автора проекта пользовательские компоненты FreeBSD менее усложнены и больше подходят для легковесных и компактных систем. Своё влияние также оказала … Читать далее Дистрибутив Chimera Linux, сочетающий ядро Linux с окружением FreeBSD

Состоялся релиз легковесного дистрибутива MX Linux 21, созданного в результате совместной работы сообществ, образовавшихся вокруг проектов antiX и MEPIS. Выпуск основан на пакетной базе Debian с улучшениями от проекта antiX и пакетами из собственного репозитория. В дистрибутиве используется система инициализации sysVinit и собственные инструменты для настройки и развёртывания системы. Для загрузки доступны 32- и 64-разрядные сборки, размером 1.9 ГБ (x86_64, i386) с рабочим столом Xfce, а также 64-разрядные сборки с рабочим столом KDE. В новом выпуске: Осуществлён переход на пакетную базу Debian 11. Ядро Linux обновлено до ветки 5.10. Обновлены версии приложений, в том числе задействованы пользовательские окружения Xfce 4.16, … Читать далее Выпуск дистрибутива MX Linux 21

Компания SiFive, основанная создателями архитектуры набор команд RISC-V и в своё время подготовившая первый прототип процессора на базе RISC-V, представила новое RISC-V ядро CPU в линейке SiFive Performance, которое на 50% быстрее прошлого топового ядра P550 и опережает по производительности ARM Cortex-A78, наиболее мощный процессор на базе архитектуры ARM. SoC на базе нового ядра ориентированы прежде всего на серверные системы и рабочие станции, но возможно и создание урезанных вариантов для мобильных и встраиваемых устройств. Заявлено, что по сравнению с P550 новое процессорное ядро SiFive содержит 16 МБ L3-кэша вместо 4MB, может объединять в одном чипе до 16 ядер вместо 4, … Читать далее Компания SiFive представила ядро RISC-V, опережающее по производительности ARM Cortex-A78

Состоялся релиз гипервизора Bareflank 3.0, предоставляющего инструментарий для быстрой разработки специализированных гипервизоров. Bareflank написан на языке C++, поддерживает C++ STL. Модульная архитектура Bareflank позволят легко расширять имеющиеся возможности гипервизора и создавать собственные варианты гипервизоров, как работающих поверх оборудования (как Xen), так и запускаемых в имеющемся программном окружении (как VirtualBox). Имеется возможность выполнения операционной системы хост-окружения в отдельной виртуальной машине. Код проекта распространяется под лицензией LGPL 2.1. В Bareflank реализована поддержка Linux, Windows и UEFI на 64-разрядных CPU Intel и AMD. Для аппаратного разделения ресурсов виртуальных машин применяется технология Intel VT-x. На будущее запланирована поддержка macOS и BSD-систем, а также возможность … Читать далее Выпуск гипервизора Bareflank 3.0

Опубликован релиз языка системного программирования Rust 1.56, основанного проектом Mozilla, но ныне развиваемого под покровительством независимой некоммерческой организации Rust Foundation. Кроме штатного номера версии выпуск также обозначен как Rust 2021 и знаменует собой стабилизацию изменений, предложенных за последние три года. Rust 2021 также выступит основой для наращивания функциональности в последующие три года, по аналогии с тем, как выпуск Rust 2018 стал базисом для развития языка в прошедшие три года. Для сохранения совместимости разработчики могут использовать в своих программах метки «2015», «2018» и «2021», позволяющие привязать программы к срезам состояния языка, соответствующим выбранным редакциям Rust. Редакции были введены для разделения несовместимых … Читать далее Релиз языка программирования Rust 2021 (1.56)

Alibaba, одна из крупнейших китайских IT-компаний, объявила об открытии наработок, связанных с процессорными ядрами XuanTie E902, E906, C906 и C910, построенными на базе 64-разрядной архитектуры набора команд RISC-V. Открытые ядра XuanTie будут развиваться под новыми именами OpenE902, OpenE906, OpenC906 и OpenC910. Схемы, описания аппаратных блоков на языке Verilog, симулятор и сопутствующая проектная документация опубликованы на GitHub под лицензией Apache 2.0. Отдельно опубликованы адаптированные для работы с чипами XuanTie варианты компиляторов GCC и LLVM, библиотеки Glibc, инструментария Binutils, загрузчика U-Boot, ядра Linux, связующего интерфейса OpenSBI (RISC-V Supervisor Binary Interface), платформы для создания встраиваемых Linux-систем Yocto, а также патчи для запуска платформы … Читать далее Компания Alibaba открыла наработки, связанные с RISC-V процессорами XuanTie

В репоизитории NPM выявлены три вредоносных пакета klow, klown и okhsa, которые прикрываясь функциональностью для разбора заголовка User-Agent (использовалась копия библиотеки UA-Parser-js) содержали вредоносные изменения, применяемые для организации майнинга криптовалют на системе пользователя. Пакеты были размещены одним пользователем 15 октября, но сразу выявлены сторонними исследователями, которые сообщили о проблеме администрации NPM. В итоге пакеты были удалены в течение дня после публикации, но успели набрать около 150 загрузок. Напрямую вредоносный код содержался только в пакетах «klow» и «klown», которые использовались в пакете okhsa в качестве зависимостей. В пакете «okhsa» также имелась заглушка для запуска калькулятора в Windows. В зависимости от текущей … Читать далее В репоизитории NPM выявлены три пакета, выполняющих скрытый майнинг криптовалют

Доступен для тестирования выпуск графического редактора GIMP 2.99.8, продолжающий развитие функциональности будущей стабильной ветки GIMP 3.0, в которой выполнен переход на GTK3, добавлена штатная поддержка Wayland и HiDPI, проведена значительная чистка кодовой базы, предложен новый API для разработки плагинов, реализовано кэширование отрисовки, добавлена поддержка выделения нескольких слоёв (Multi-layer selection) и обеспечено редактирование в исходном цветовом пространстве. Для установки доступен пакет в формате flatpak (org.gimp.GIMP в репозитории flathub-beta) и сборки для Windows. По сравнению с прошлым тестовым выпуском добавлены следующие изменения: В инструментах выборочного копирования «Штамп», «Лечебная кисть» и «Перспектива» (Clone, Heal and Perspective) реализована возможность работы при выборе нескольких слоёв. … Читать далее Четвёртый предварительный выпуск графического редактора GIMP 3.0

Исследователи из команды Google Project Zero опубликовали метод эксплуатации уязвимости (CVE-2020-29661) в реализации ioctl-обработчика TIOCSPGRP из tty-подсистемы ядра Linux, а также детально рассмотрели механизмы защиты, которые могли бы блокировать подобные уязвимости. Вызывающая проблему ошибка была устранена в ядре Linux ещё 3 декабря прошлого года. Проблема проявляется в ядрах до версии 5.9.13, но большинство дистрибутивов устранили проблему в обновлениях пакетов с ядром, предложенных ещё в прошлом году (Debian, RHEL, SUSE, Ubuntu, Fedora, Arch). Похожая уязвимость (CVE-2020-29660) одновременно была найдена в реализации ioctl-вызова TIOCGSID, но она также уже повсеместно устранена. Проблема вызвана ошибкой при установке блокировок, приводящей к состоянию гонки в коде … Читать далее Раскрыта техника эксплуатации уязвимости в tty-подсистеме ядра Linux

Доступен выпуск дистрибутива Redcore Linux 2102, который пытается совместить функциональные возможности Gentoo с удобством для обычных пользователей. Дистрибутив предоставляет простой инсталлятор, позволяющий быстро развернуть рабочую систему, не требуя пересборки компонентов из исходных текстов. Пользователям предоставляется репозиторий с готовыми бинарными пакетами, сопровождаемый с использованием непрерывного цикла обновлений (rolling-модель). Для управления пакетами задействован собственный пакетный менеджер sisyphus. Для установки предлагается iso-образ с рабочим столом KDE, размером 3.9 ГБ (x86_64). В новой версии: Выполнена синхронизация с деревом Gentoo testing по состоянию на 1 октября. Для установки на выбор предложены пакеты с ядром Linux 5.14.10 (по умолчанию), 5.10.71 и 5.4.151. Обновлены версии около 1300 … Читать далее Выпуск дистрибутива Redcore Linux 2102

3 декабря в Москве пройдёт конференция, посвящённая языку программирования Rust. Конференция предназначена как для тех, кто уже пишет на этом языке определённые продукты, так и для тех, кто присматривается к нему. На мероприятии будут обсуждаться вопросы, посвящённые улучшению программных продуктов с помощью дополнения или переноса функциональности на Rust, а также рассматриваться причины того, почему это нельзя сделать на C/C++. Участие платное (14000 руб), предусмотрено питание, напитки и прямое общение со специалистами, плотно занимающимися внедрением Rust в свои продукты. Среди докладчиков: Сергей Фомин из компании «Яндекс» и Владислав Бескровный из компании «JetBrains», а также гости из таких компаний, как Avito, Rambler … Читать далее В Москве состоится конференция, посвящённая языку программирования Rust

Компания Google представила релиз web-браузера Chrome 95. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. В соответствии с новым 4-недельным циклом разработки следующий выпуск Chrome 96 запланирован на 16 ноября. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель, в которой сформировано обновление для прошлого выпуска Chrome 94. Основные изменения в Chrome 95: Для пользователей Linux, Windows, macOS и ChromeOS предложена новая боковая … Читать далее Релиз Chrome 95

Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 6.1.28, в котором отмечено 23 исправления. Основные изменения: Для гостевых систем и хостов с Linux добавлена начальная поддержка ядер 5.14 и 5.15, а также дистрибутива RHEL 8.5. Для хостов с Linux улучшено определение установки модулей ядра для исключения лишних пересборок модулей. В менеджере виртуальных машин решена проблема с доступном к отладочным регистрам при загрузке вложенных гостевых систем. В графическом интерфейсе решены проблемы с прокруткой на сенсорных экранах. В виртуальном графическом адаптере VMSVGA решена проблема с появлением чёрного экрана при изменении размера экрана после восстановления сохранённого состояния. В VMSVGA также налажена работа в … Читать далее Выпуск VirtualBox 6.1.28

Правозащитная организация Software Freedom Conservancy (SFC) подала судебный иск против компании Vizio, связанный с невыполнением требований лицензии GPL при распространении прошивок к умным телевизорам на базе платформы SmartCast. Разбирательство примечательно тем, что это первый в истории иск, поданный не от имени участника разработки, которому принадлежат имущественные права на код, а со стороны потребителя, которому не были предоставлены исходные тексты компонентов, распространяемых под лицензией GPL. Используя в своих продуктах код под копилефт лицензиями производитель для сохранения свободы ПО обязан предоставить исходные тексты, включая код производных работ и инструкции по установке. Без подобных действий пользователь теряет контроль над программным обеспечением, не может … Читать далее Против компании Vizio подан судебный иск с обвинением в нарушении лицензии GPL