Состоялся экспериментальный выпуск открытой реализации WinAPI — Wine 6.2. С момента выпуска версии 6.1 был закрыт 51 отчёт об ошибках и внесено 329 изменений. Наиболее важные изменения: Движок Mono обновлён до версии 6.0 с поддержкой DirectX. Добавлена поддержка API отладчика NTDLL. В компиляторе WIDL (Wine Interface Definition Language) расширена поддержка WinRT IDL (Interface Definition Language). Решены проблемы с использованием контроллеров Xbox One на платформе macOS. Закрыты отчёты об ошибках, связанные с работой игр и приложений: World of Tanks, Directory Opus 9 c дополнением Amiga Explorer Shell, Total Commander 7.x, Foxit Reader, Paint.NET, Earth 2160, AVATAR Demo, iNodeSetup 3.60, QQPlayer 3.1, … Читать далее Выпуск Wine 6.2, Wine staging 6.2 и Proton 5.13-6

После года разработки представлен релиз дистрибутива OpenMandriva Lx 4.2. Проект развивается силами сообщества после того, как компания Mandriva S.A. передала управление проектом в руки некоммерческой организации «OpenMandriva Association». Для загрузки предлагается Live-сборка размером 2.4 ГБ (x86_64), сборка «znver1», оптимизированная для процессоров AMD Ryzen, ThreadRipper и EPYC, а также образы для использования на ARM-устройствах Pinebook Pro, Rock Pi 4(A/B/C), Raspberry Pi 400, Raspberry Pi 4B и Raspberry Pi 3B+. В новой версии: Подготовлен порт для 64-разрядных процессоров ARM (aarch64) и началось формирование сборок для устройств Pinebook Pro, Raspberry Pi 4B/3B+, Rock Pi 4A, 4B и 4C, Synquacer, Cubox Pulse, а также … Читать далее Релиз дистрибутива OpenMandriva Lx 4.2

Компания Yandex сообщила о выявлении нечистого на руку сотрудника, предоставлявшего несанкционированный доступ к почтовым ящикам в сервисе Яндекс.Почта. В махинациях с почтовыми ящиками был уличён один из трёх главных администраторов службы технической поддержки сервиса, имевших полный доступ к инфраструктуре. В результате инцидента было скомпрометировано 4887 почтовых ящиков пользователей Яндекс.Почта. В настоящее время в Yandex проводится внутреннее расследование и ведётся работа по пересмотру процессов работы сотрудников для минимизации влияния человеческого фактора на безопасность данных пользователей. Источник: http://www.opennet.ru/opennews/art.shtml?num=54576 Читать далее Yandex выявил сотрудника, предоставлявшего доступ к чужим почтовым ящикам

Опубликован релиз языка системного программирования Rust 1.50, основанного проектом Mozilla. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime (runtime сводится к базовой инициализации и сопровождению стандартной библиотеки). Автоматическое управление памятью в Rust избавляет разработчика от ошибок при манипулировании указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер … Читать далее Выпуск языка программирования Rust 1.50

Разработчики из компании Google опубликовали план реализации в операционной системе Fuchsia механизма для запуска немодифицированных программ, собранных для Linux. Для выполнения Linux-программ в пространстве пользователя планируется предоставить прослойку «starnix», обеспечивающую совместимость с ABI Linux. В развиваемой прослойке системные интерфейсы ядра Linux реализуются в обработчике, запускаемом в виде процесса для ОС Fuchsia, работающего в пространстве пользователя и транслирующего запросы Linux-программ в обращения к соответствующим подсистемам Fuchsia. Отмечается, что при разработке проекта многие подсистемы Fuchsia придётся доработать для реализации всех доступных в Linux системных интерфейсов. Архитектура starnix во многом повторяет подсистму Windows Subsystem for Linux, применяемую в Windows для трансляции системных вызовов … Читать далее В ОС Fuchsia работают над поддержкой запуска немодифицированных Linux-программ

Симон Петер (Simon Peter), создатель формата самодостаточных пакетов AppImage, развивает новый дистрибутив helloSystem, основанный на FreeBSD и оснащённый интерфейсом, напоминающим macOS. Разработка системы ещё не завершена, но для тестирования уже формируются загрузочные образы, размером 1.7 ГБ. Дистрибутив разрабатывается в соответствии с принципом «меньше, но лучше» и позиционируется как система для обычных пользователей, на которую могут перейти любители macOS, недовольные политикой Apple, навязыванием решений и привязкой к одному производителю. Система лишена усложнений, свойственных современным Linux-дистрибутивам, находится под полным контролем пользователя и позволяет чувствовать себя комфортно бывшим пользователям macOS. Интерфейс отталкивается от идеи использования глобального меню. Для формирования глобального меню и строки … Читать далее Автор AppImage развивает дистрибутив helloSystem, использующий FreeBSD и напоминающий macOS

Компания System76, специализирующаяся на производстве ноутбуков, ПК и серверов, поставляемых с Linux, опубликовала новый открытый проект Launch Configurable Keyboard, развивающий клавиатуру, полностью настраиваемую пользователем. Открыты механические и электрические схемы, а также прошивки и используемое для управления программное обеспечение. Проектная документация и модели для САПР FreeCAD распространяются под лицензией CC BY-SA-4.0. Схемы и распайки печатных плат доступны в формате pcb для KiCad и поставляются под лицензией GPLv3. Программное обеспечение включает конфигуратор и прошивку, основанную на коде QMK (Quantum Mechanical Keyboard), которые распространяются под лицензиями GPLv3 и GPLv2. Для обновления прошивки применяется fwupd (LGPLv2.1). Конфигуратор, позволяющий во время работы менять назначение и … Читать далее Компания System76 опубликовала открытую клавиатуру Launch

Участники проекта Tor разработали Anon-Ticket, надстройку для платформы совместной разработки GitLab, позволяющую анонимно отправлять сообщения о проблемах и участвовать в их обсуждении, без необходимости регистрации учётной записи. Код написан на языке Python с использованием фреймворка Django. В тестовом режиме запущен сервис, позволяющий отправлять сообщения о проблемах в репозиториях Tor, но надстройка не привязана к Tor и может применяться в других проектах. Часто пользователи, пожелавшие сообщить разработчикам о проблеме, отказываются от своего намерения, столкнувшись с необходимостью заполнения дополнительных регистрационных форм, передачи персональных данных или ожидания подтверждения. Anon-Ticket позволят обойтись без регистрации, которая излишня при отправке единичных уведомлений, избавиться от ожидания подтверждения … Читать далее Проект Tor представил систему анонимных тикетов для GitLab

Разработчики библиотеки SDL (Simple DirectMedia Layer), нацеленной на упрощение написания игр и мультимедийных приложений, объявили о переводе процесса разработки c системы управления исходными текстами Mercurial и движка отслеживания ошибок Bugzilla на Git и платформу GitHub. По мнению Райана Гордона (Ryan C. Gordon), один из лидеров проекта, Mercurial остаётся лучшей системой управления исходными текстами, а в Git реализован ряд неудачных архитектурных решений, но в современном мире Mercurial становится изгоем и все инструменты разработки и рабочие процессы ориентируются на Git. Большинство разработчиков работают с Git, и участие в проектах на базе Mercurial требует для них изучения дополнительного инструмента. После перехода на Git … Читать далее Проект SDL переходит на Git и GitHub

Состоялся выпуск Live-дистрибутива Finnix 122, основанного на пакетной базе Debian. Дистрибутив поддерживает только работу в консоли, но содержит хорошую подборку утилит для нужд администратора. В состав входит более 600 пакетов со всевозможными утилитами. Размер iso-образа — 411 МБ. В новой версии: Улучшена загрузка с USB Flash накопителей на системах со старыми BIOS. Повышена скорость загрузки. С 509 до 411 МБ сокращён размер iso-образа. Добавлена команда «finnix» для начала работы с системой. Добавлен скрипт wifi-connect для настройки беспроводного соединения. В состав включены пакеты iozone3, rover, iw, crda, wireless-regdb, mscompress, apg, ftp, ftp-ssl и keyutils. Обеспечена генерация кэша man-страниц, позволяющего выполнять команды … Читать далее Выпуск Finnix 122, Live-дистрибутива для системных администраторов

Представлен поразительный по своей простоте метод атаки на зависимости в приложениях, при разработке которых используются внутренние репозитории пакетов. Выявившие проблему исследователи смогли выполнить свой код на внутренних серверах 35 компаний, среди которых PayPal, Micrоsoft, Apple, Netflix, Uber, Tesla и Shopify. Взломы проводились в рамках программ Bug Bounty, согласованно с атакуемыми компаниями, и уже принесли авторам 130 тысяч долларов, выплаченных в форме вознаграждений за выявление уязвимостей (выплаты продолжают поступать). Метод основан на том, что многие компании используют в своих внутренних приложениях зависимости из репозиториев NPM, PyPI и RubyGems, а также внутренние зависимости, которые не распространяются публично и загружаются из собственных репозиториев … Читать далее Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний

Доступен первый выпуск проекта Datanymizer, решающего задачи по анонимизации информации в базе данных при проведении тестирования продуктов без нарушения конфиденциальности. В работе на тестовых средах бывают нужны данные, максимально приближенные к реальным, уже имеющимся в продукте. Чтобы избежать риска утечки данных, можно использовать Datanymizer — он анонимизирует данные на стороне сервера и передаст в тестовую среду уже чистый SQL-дамп, в котором персональные данные скрыты или заменены несуществующими данными, похожими по формату на реальные. Datanymizer поддерживает глобальные переменные, ограничения уникальности и встроенные правила. Код проекта написан на языке Rust и распространяется под лицензией MIT. Дополнительно, тот же производитель опубликовал новую версию … Читать далее Вышел Datanymizer, анонимайзер чувствительных данных

В системе для изолированного выполнения приложений Firejail выявлена уязвимость (CVE-2021-26910), позволяющая повысить свои привилегии до пользователя root. Firejail использует для изоляции механизм пространств имён (namespaces), AppArmor и фильтрацию системных вызовов (seccomp-bpf) в Linux, но для настройки изолированного запуска требует повышенных привилегий, которые получает через привязку к утилите флага suid root или запуск при помощи sudo. Уязвимость вызвана недоработкой в коде для поддержки файловой системы OverlayFS, которая используется для создания поверх основной ФС дополнительного слоя для сохранения изменений, произведённых изолированным процессом. Подразумевается, что изолированный процесс получает доступ на чтение к основной ФС, а все операции записи перенаправляются во временное хранилище и … Читать далее Опасные уязвимости в Firejail, Connman и GNU Guix

Руководящий совет проекта Python утвердил добавление в язык операторов для сопоставления с образцом (match и case). Поддержка новых операторов появится в выпуске Python 3.10. Новые операторы «match» и «case» позволят улучшить читаемость кода, упростят сопоставление произвольных Python-объектов и отладку, а также повысят надёжность кода благодаря возможности расширенной статической проверки типов. Реализация во многом напоминает оператор «match», предоставляемый в языках Scala, Rust и F#, который выполняет сравнение результата выполнения указанного выражения со списком образцов, перечисленных в блоках на основе оператора «case». В отличие от оператора «switch», доступного в языках Си, Java и JavaScript, выражения на основе «match» предлагают гораздо более широкую … Читать далее Утверждено добавление в Python операторов для сопоставления с образцом

Состоялся релиз многотрековой системы нелинейного видеомонтажа Flowblade 2.8, позволяющей компоновать фильмы и видеоролики из набора отдельных видео, звуковых файлов и изображений. Редактор предоставляет средства для обрезки клипов с точностью до отдельных кадров, их обработки при помощи фильтров и многоуровневой компоновки изображений для встраивания в видео. Имеется возможность произвольного определения порядка применения инструментов и корректировки поведения шкалы времени. Код проекта написан на языке Python и распространяется под лицензией GPLv3. Сборки подготовлены в формате deb. Для организации редактирования видео применяется фреймворк MLT. Для обработки различных форматов видео, звука и изображений применяется библиотека FFmpeg. Интерфейс построен с использованием PyGTK. Для математических вычислений задействована … Читать далее Выпуск видеоредакторов Flowblade 2.8 и Shotcut 21.01.29

Доступен корректирующий выпуск Firefox 85.0.2, в котором устранена взаимная блокировка, приводившая к зависанию при запуске. Например, при определённом стечении обстоятельств зависание наблюдается при запуске Firefox через .desktop-файл в окружении Xfce. Отмечается, что вызывающая взаимную блокировку ошибка присутствует достаточно давно, но изменения в Firefox 85 значительно повысили вероятность зависания. Источник: http://www.opennet.ru/opennews/art.shtml?num=54562 Читать далее Обновление Firefox 85.0.2

Компания Jolla опубликовала релиз операционной системы Sailfish 4.0.1, который стал первым выпуском в новой ветке 4.x. Сборки подготовлены для устройств Jolla C, Jolla Tablet, Sony Xperia X, Xperia XA2 и Sony Xperia 10, но поставляются пока только для зарегистрированных участников программы раннего доступа к прошивкам (для всех остальных доступ будет открыт в ближайшие дни). Формирование сборок для смартфона Jolla 1 прекращено после 7 лет сопровождения. Sailfish использует графический стек на базе Wayland и библиотеки Qt5, системное окружение построено на основе Mer, который с апреля 2019 года развивается как составная часть Sailfish, и пакетов Mer-дистрибутива Nemo. Пользовательская оболочка, базовые мобильные приложения, … Читать далее Выпуск мобильной ОС Sailfish 4

В популярном мобильном приложении для сканирования штриховых кодов Barcode Scanner, насчитывающем более 10 млн установок, выявлена подстановка вредоносного кода. Проблема была разобрана исследователями из компании Malwarebytes после появления жалоб пользователей на автоматическое открытие других сайтов в браузере и появление всплывающих окон с предложениями по установке фиктивных антивирусных программ. Как правило, появление подобной рекламы связано с установкой сомнительных программ из непроверенных источников, но в разбираемом случае пользователи давно не выполняли установку новых приложений, а все имеющиеся программ имели хорошую репутацию. Детальный анализ показал, что причиной вредоносной активности стало декабрьское обновление приложения Barcode Scanner, которое ранее не вызывало нареканий, пользовалось популярностью у … Читать далее В обновлении Android-приложения с 10 млн установок выявлен вредоносный код

Основная команда разработчиков языка Rust (Rust Core Team) объявила о завершении процесса создания независимой некоммерческой организации Rust Foundation, которой компания Mozilla передала связанную с проектом Rust интеллектуальную собственность и элементы инфраструктуры, в том числе торговые марки и доменные имена, ассоциируемые с Rust, Cargo и реестром пакетов crates.io. Организация будет курировать связанную с языком Rust экосистему, поддерживать основных мэйнтейтнеров, занимающихся разработкой и принятием решений, а также отвечать за организацию финансирования проекта. Напомним, что Rust изначально развивался как проект подразделения Mozilla Research, который в 2015 году был преобразован в самостоятельный проект с независимым от Mozilla управлением. Несмотря на то, что с тех … Читать далее Завершён процесс создания организации Rust Foundation

Опубликована реализация новой техники идентификации конкретного экземпляра браузера. Метод основывается на особенностях обработки изображений Favicon, при помощи которых сайт определяет пиктограммы, отображаемые в закладках, вкладках и прочих элементах интерфейса браузера. В качестве области хранения используется кэш Favicon, который выступает в роли «Supercookie». Изображения Favicon сохраняются браузерами в отдельном кэше, который не пересекается с другими кэшами, является общим для всех режимов работы и не очищается штатными средствами очистки кэша и истории посещений. Данная особенность позволяет использовать идентификатор даже при работе в режиме инкогнито и затрудняет его удаление. На идентификацию с использованием предложенного метода также не влияет применение VPN и дополнений для … Читать далее Метод идентификации браузера через манипуляции с кэшированием Favicon

Разработчики языка программирования Perl сообщили об успешном завершении процесса возвращения домена perl.com, который был захвачен посторонним лицом после компрометации учётной записи. Возвращение домена было усложнено тем, что после получение контроля над доменом атакующие несколько раз сменили регистратора — из области ответственности компании Network Solutions домен был переведён вначале китайскому регистратору Bizcn, а затем передан на обслуживание регистратору Key-Systems GmbH. Процесс восстановления начался с того, что компания Verisign вернула для домена perl.com корректные DNS-серверы (в выводе whois должны быть серверы *.bitnames.com). Теперь восстановление завершено, домен вернулся к регистратору Network Solutions, который обеспечил привязку perl.com к прежнему владельцу. Источник: http://www.opennet.ru/opennews/art.shtml?num=54551 Читать далее Сообщество вернуло контроль над доменом perl.com