Исследователи из Оборонного научно-технического университета Народно-освободительной армии Китая, Национального университета Сингапура и Швейцарской высшей технической школы Цюриха разработали новый метод атаки на изолированные анклавы Intel SGX (Software Guard eXtensions). Атака получила название SmashEx и вызвана проблемами с реентерабельностью при обработке исключительных ситуаций в процессе работы runtime-компонентов для Intel SGX. Предложенный метод атаки даёт возможность при наличии контроля за операционной системой определить конфиденциальные данные, размещённые в анклаве, или организовать копирование своего кода в память анклава и его исполнение. Прототипы эксплоитов подготовлены для анклавов с runtime на базе Intel SGX SDK (CVE-2021-0186) и Microsoft Open Enclave (CVE-2021-33767). В первом случае продемонстрирована возможность … Читать далее Атака на Intel SGX, позволяющая извлечь конфиденциальные данные или выполнить код в анклаве

Даниэль Колеса (Daniel Kolesa) из компании Igalia, принимающий участие в разработке проектов Void Linux, WebKit и Enlightenment, развивает новый дистрибутив Chimera Linux. Проект используется ядро Linux, но вместо инструментария GNU формирует окружение пользователя на основе начинки базовой системы FreeBSD, а для сборки использует LLVM. Дистрибутив изначально развивается как кроссплатформенный и поддерживает архитектуры x86_64, ppc64le, aarch64, riscv64 и ppc64. В качестве цели проекта называется желание предоставить Linux-дистрибутив с альтернативным инструментарием и учесть при создании нового дистрибутива опыт разработки Void Linux. По мнению автора проекта пользовательские компоненты FreeBSD менее усложнены и больше подходят для легковесных и компактных систем. Своё влияние также оказала … Читать далее Дистрибутив Chimera Linux, сочетающий ядро Linux с окружением FreeBSD

Состоялся релиз легковесного дистрибутива MX Linux 21, созданного в результате совместной работы сообществ, образовавшихся вокруг проектов antiX и MEPIS. Выпуск основан на пакетной базе Debian с улучшениями от проекта antiX и пакетами из собственного репозитория. В дистрибутиве используется система инициализации sysVinit и собственные инструменты для настройки и развёртывания системы. Для загрузки доступны 32- и 64-разрядные сборки, размером 1.9 ГБ (x86_64, i386) с рабочим столом Xfce, а также 64-разрядные сборки с рабочим столом KDE. В новом выпуске: Осуществлён переход на пакетную базу Debian 11. Ядро Linux обновлено до ветки 5.10. Обновлены версии приложений, в том числе задействованы пользовательские окружения Xfce 4.16, … Читать далее Выпуск дистрибутива MX Linux 21

Компания SiFive, основанная создателями архитектуры набор команд RISC-V и в своё время подготовившая первый прототип процессора на базе RISC-V, представила новое RISC-V ядро CPU в линейке SiFive Performance, которое на 50% быстрее прошлого топового ядра P550 и опережает по производительности ARM Cortex-A78, наиболее мощный процессор на базе архитектуры ARM. SoC на базе нового ядра ориентированы прежде всего на серверные системы и рабочие станции, но возможно и создание урезанных вариантов для мобильных и встраиваемых устройств. Заявлено, что по сравнению с P550 новое процессорное ядро SiFive содержит 16 МБ L3-кэша вместо 4MB, может объединять в одном чипе до 16 ядер вместо 4, … Читать далее Компания SiFive представила ядро RISC-V, опережающее по производительности ARM Cortex-A78

Состоялся релиз гипервизора Bareflank 3.0, предоставляющего инструментарий для быстрой разработки специализированных гипервизоров. Bareflank написан на языке C++, поддерживает C++ STL. Модульная архитектура Bareflank позволят легко расширять имеющиеся возможности гипервизора и создавать собственные варианты гипервизоров, как работающих поверх оборудования (как Xen), так и запускаемых в имеющемся программном окружении (как VirtualBox). Имеется возможность выполнения операционной системы хост-окружения в отдельной виртуальной машине. Код проекта распространяется под лицензией LGPL 2.1. В Bareflank реализована поддержка Linux, Windows и UEFI на 64-разрядных CPU Intel и AMD. Для аппаратного разделения ресурсов виртуальных машин применяется технология Intel VT-x. На будущее запланирована поддержка macOS и BSD-систем, а также возможность … Читать далее Выпуск гипервизора Bareflank 3.0

Опубликован релиз языка системного программирования Rust 1.56, основанного проектом Mozilla, но ныне развиваемого под покровительством независимой некоммерческой организации Rust Foundation. Кроме штатного номера версии выпуск также обозначен как Rust 2021 и знаменует собой стабилизацию изменений, предложенных за последние три года. Rust 2021 также выступит основой для наращивания функциональности в последующие три года, по аналогии с тем, как выпуск Rust 2018 стал базисом для развития языка в прошедшие три года. Для сохранения совместимости разработчики могут использовать в своих программах метки «2015», «2018» и «2021», позволяющие привязать программы к срезам состояния языка, соответствующим выбранным редакциям Rust. Редакции были введены для разделения несовместимых … Читать далее Релиз языка программирования Rust 2021 (1.56)

Alibaba, одна из крупнейших китайских IT-компаний, объявила об открытии наработок, связанных с процессорными ядрами XuanTie E902, E906, C906 и C910, построенными на базе 64-разрядной архитектуры набора команд RISC-V. Открытые ядра XuanTie будут развиваться под новыми именами OpenE902, OpenE906, OpenC906 и OpenC910. Схемы, описания аппаратных блоков на языке Verilog, симулятор и сопутствующая проектная документация опубликованы на GitHub под лицензией Apache 2.0. Отдельно опубликованы адаптированные для работы с чипами XuanTie варианты компиляторов GCC и LLVM, библиотеки Glibc, инструментария Binutils, загрузчика U-Boot, ядра Linux, связующего интерфейса OpenSBI (RISC-V Supervisor Binary Interface), платформы для создания встраиваемых Linux-систем Yocto, а также патчи для запуска платформы … Читать далее Компания Alibaba открыла наработки, связанные с RISC-V процессорами XuanTie

В репоизитории NPM выявлены три вредоносных пакета klow, klown и okhsa, которые прикрываясь функциональностью для разбора заголовка User-Agent (использовалась копия библиотеки UA-Parser-js) содержали вредоносные изменения, применяемые для организации майнинга криптовалют на системе пользователя. Пакеты были размещены одним пользователем 15 октября, но сразу выявлены сторонними исследователями, которые сообщили о проблеме администрации NPM. В итоге пакеты были удалены в течение дня после публикации, но успели набрать около 150 загрузок. Напрямую вредоносный код содержался только в пакетах «klow» и «klown», которые использовались в пакете okhsa в качестве зависимостей. В пакете «okhsa» также имелась заглушка для запуска калькулятора в Windows. В зависимости от текущей … Читать далее В репоизитории NPM выявлены три пакета, выполняющих скрытый майнинг криптовалют

Доступен для тестирования выпуск графического редактора GIMP 2.99.8, продолжающий развитие функциональности будущей стабильной ветки GIMP 3.0, в которой выполнен переход на GTK3, добавлена штатная поддержка Wayland и HiDPI, проведена значительная чистка кодовой базы, предложен новый API для разработки плагинов, реализовано кэширование отрисовки, добавлена поддержка выделения нескольких слоёв (Multi-layer selection) и обеспечено редактирование в исходном цветовом пространстве. Для установки доступен пакет в формате flatpak (org.gimp.GIMP в репозитории flathub-beta) и сборки для Windows. По сравнению с прошлым тестовым выпуском добавлены следующие изменения: В инструментах выборочного копирования «Штамп», «Лечебная кисть» и «Перспектива» (Clone, Heal and Perspective) реализована возможность работы при выборе нескольких слоёв. … Читать далее Четвёртый предварительный выпуск графического редактора GIMP 3.0

Исследователи из команды Google Project Zero опубликовали метод эксплуатации уязвимости (CVE-2020-29661) в реализации ioctl-обработчика TIOCSPGRP из tty-подсистемы ядра Linux, а также детально рассмотрели механизмы защиты, которые могли бы блокировать подобные уязвимости. Вызывающая проблему ошибка была устранена в ядре Linux ещё 3 декабря прошлого года. Проблема проявляется в ядрах до версии 5.9.13, но большинство дистрибутивов устранили проблему в обновлениях пакетов с ядром, предложенных ещё в прошлом году (Debian, RHEL, SUSE, Ubuntu, Fedora, Arch). Похожая уязвимость (CVE-2020-29660) одновременно была найдена в реализации ioctl-вызова TIOCGSID, но она также уже повсеместно устранена. Проблема вызвана ошибкой при установке блокировок, приводящей к состоянию гонки в коде … Читать далее Раскрыта техника эксплуатации уязвимости в tty-подсистеме ядра Linux

Доступен выпуск дистрибутива Redcore Linux 2102, который пытается совместить функциональные возможности Gentoo с удобством для обычных пользователей. Дистрибутив предоставляет простой инсталлятор, позволяющий быстро развернуть рабочую систему, не требуя пересборки компонентов из исходных текстов. Пользователям предоставляется репозиторий с готовыми бинарными пакетами, сопровождаемый с использованием непрерывного цикла обновлений (rolling-модель). Для управления пакетами задействован собственный пакетный менеджер sisyphus. Для установки предлагается iso-образ с рабочим столом KDE, размером 3.9 ГБ (x86_64). В новой версии: Выполнена синхронизация с деревом Gentoo testing по состоянию на 1 октября. Для установки на выбор предложены пакеты с ядром Linux 5.14.10 (по умолчанию), 5.10.71 и 5.4.151. Обновлены версии около 1300 … Читать далее Выпуск дистрибутива Redcore Linux 2102

3 декабря в Москве пройдёт конференция, посвящённая языку программирования Rust. Конференция предназначена как для тех, кто уже пишет на этом языке определённые продукты, так и для тех, кто присматривается к нему. На мероприятии будут обсуждаться вопросы, посвящённые улучшению программных продуктов с помощью дополнения или переноса функциональности на Rust, а также рассматриваться причины того, почему это нельзя сделать на C/C++. Участие платное (14000 руб), предусмотрено питание, напитки и прямое общение со специалистами, плотно занимающимися внедрением Rust в свои продукты. Среди докладчиков: Сергей Фомин из компании «Яндекс» и Владислав Бескровный из компании «JetBrains», а также гости из таких компаний, как Avito, Rambler … Читать далее В Москве состоится конференция, посвящённая языку программирования Rust

Компания Google представила релиз web-браузера Chrome 95. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. В соответствии с новым 4-недельным циклом разработки следующий выпуск Chrome 96 запланирован на 16 ноября. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель, в которой сформировано обновление для прошлого выпуска Chrome 94. Основные изменения в Chrome 95: Для пользователей Linux, Windows, macOS и ChromeOS предложена новая боковая … Читать далее Релиз Chrome 95

Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 6.1.28, в котором отмечено 23 исправления. Основные изменения: Для гостевых систем и хостов с Linux добавлена начальная поддержка ядер 5.14 и 5.15, а также дистрибутива RHEL 8.5. Для хостов с Linux улучшено определение установки модулей ядра для исключения лишних пересборок модулей. В менеджере виртуальных машин решена проблема с доступном к отладочным регистрам при загрузке вложенных гостевых систем. В графическом интерфейсе решены проблемы с прокруткой на сенсорных экранах. В виртуальном графическом адаптере VMSVGA решена проблема с появлением чёрного экрана при изменении размера экрана после восстановления сохранённого состояния. В VMSVGA также налажена работа в … Читать далее Выпуск VirtualBox 6.1.28

Правозащитная организация Software Freedom Conservancy (SFC) подала судебный иск против компании Vizio, связанный с невыполнением требований лицензии GPL при распространении прошивок к умным телевизорам на базе платформы SmartCast. Разбирательство примечательно тем, что это первый в истории иск, поданный не от имени участника разработки, которому принадлежат имущественные права на код, а со стороны потребителя, которому не были предоставлены исходные тексты компонентов, распространяемых под лицензией GPL. Используя в своих продуктах код под копилефт лицензиями производитель для сохранения свободы ПО обязан предоставить исходные тексты, включая код производных работ и инструкции по установке. Без подобных действий пользователь теряет контроль над программным обеспечением, не может … Читать далее Против компании Vizio подан судебный иск с обвинением в нарушении лицензии GPL

Каранбир Сингх (Karanbir Singh) объявил об уходе с поста председателя упавляющего совета проекта CentOS и снятия с себя полномочий лидера проекта. Каранбир вовлечён в работу над дистрибутивом с 2004 года (проект был основан в 2002 году), занимал пост лидера после ухода Грегори Курцера (Gregory Kurtzer), основателя дистрибутива, и возглавил управляющий совет после перехода CentOS в 2014 году в руки компании Red Hat. Мотивы ухода не поясняются, но упоминается смена направления развития дистрибутива (подразумевается уход от формирования классических выпусков CentOS 8.x в пользу непрерывно обновляемой тестовой редакции CentOS Stream). Источник: http://www.opennet.ru/opennews/art.shtml?num=55999 Читать далее Лидер CentOS объявил об уходе из управляющего совета

Состоялся релиз Node.js 17.0, платформы для выполнения сетевых приложений на языке JavaScript. Node.js 17.0 относится к ветке с обычным сроком поддержки, обновления для которой будут выпускаться до июня 2022 года. В ближайшие дни будет завершена стабилизация ветки Node.js 16, которая получит статус LTS и будет поддерживаться до апреля 2024 года. Сопровождение прошлой LTS-ветки Node.js 14.0 продлится до апреля 2023 года, а позапрошлой LTS-ветки 12.0 до апреля 2022 года. Основные улучшения: Движок V8 обновлён до версии 9.5. Продолжена реализация вариантов базового API, основанных на использовании интерфейса асинхронных вычислений Promise. В дополнение к ранее предложенным API Timers Promises и Streams Promises в … Читать далее Выпуск серверной JavaScript-платформы Node.js 17.0

Группа исследователей из Падуанского (Италия) и Делфтского (Нидерланды) университетов опубликовала метод использования машинного обучения для воссоздания введённого PIN-кода по видеозаписи прикрытой рукой области ввода в банкомате. При вводе PIN-кода из 4 цифр вероятность предсказания правильного кода оценена в 41%, учитывая возможность совершения трёх попыток до блокировки. Для PIN-кодов из 5 цифр вероятность предсказания составила 30%. Отдельно был проведён эксперимент, в ходе которого 78 добровольцев попытались предсказать PIN-код по аналогичным записанным видео. В этом случае вероятность успешного предсказания составила 7.92% при наличии трёх попыток. Используемая в эксперименте нейронная сеть была обучена на видеозаписях ввода PIN-кода 58 разными людьми с использованием выбранных … Читать далее Техника определения PIN-кода по видеозаписи закрытого рукой ввода в банкомате

Открыты исходные тексты системы машинного обучения PIXIE, позволяющей создавать 3D-модели и анимированные аватары тела человека по одной фотографии. К результирующей модели могут быть привязаны реалистичные текстуры лица и одежды, отличающиеся от изображённых на исходной фотографии. Система может применяться, например, для отрисовки с другой точки наблюдения, создания анимации, реконструкции тела по форме лица и формирования 3D-модели пальцев рук. Код написан на языке Python с использованием фреймворка Pytorch и распространяется под лицензией, допускающей только использование в некоммерческих целях. Заявлено, что по сравнению с похожими проектами PIXIE позволяет более точно воссоздать контуры тела, изначально скрытого одеждой на фотографии, форму лица и положение суставов … Читать далее Опубликован проект PIXIE для построения 3D-моделей людей по фотографии

Доступен релиз OpenTTD 1.12, свободной стратегической игры, симулирующей работу транспортной компании в реальном времени. Изначально OpenTTD развивался как аналог коммерческой игры Transport Tycoon Deluxe, но позднее превратился в самодостаточный проект, значительно обогнавший по возможностям эталонный вариант игры. В частности, в рамках проекта создан альтернативный набор игровых данных, новое звуковое и графическое оформление, существенно расширены возможности игрового движка, увеличены размеры карт, реализован сетевой режим игры, добавлено много новых игровых элементов и моделей. Установочные пакеты подготовлены для Linux, Windows и macOS. В новой версии значительно улучшена поддержка многопользовательской игры. Для совместной игры теперь достаточно запустить сервер, который может быть настроен как для … Читать далее Выпуск OpenTTD 1.12, свободного симулятора транспортной компании

Состоялся релиз дистрибутива Porteus Kiosk 5.3.0, основанного на Gentoo и предназначенного для оснащения автономно работающих интернет-киосков, демонстрационных стендов и терминалов самообслуживания. Загрузочный образ дистрибутива занимает 136 МБ (x86_64). Базовая сборка включает только минимальный набор компонентов, необходимых для запуска web-браузера (поддерживаются Firefox и Chrome), который урезан в своих возможностях для предотвращения нежелательной активности в системе (например, не допускается изменение настроек, заблокирована загрузка/установка приложений, открыт только доступ к выбранным страницам). Дополнительно предлагаются специализированные сборки Cloud для комфортной работы с web-приложениями (Google Apps, Jolicloud, OwnCloud, Dropbox) и ThinClient для работы в роли тонкого клиента (Citrix, RDP, NX, VNC и SSH) и Server для … Читать далее Выпуск Porteus Kiosk 5.3.0, дистрибутива для оснащения интернет-киосков