Опубликована реализация новой техники идентификации конкретного экземпляра браузера. Метод основывается на особенностях обработки изображений Favicon, при помощи которых сайт определяет пиктограммы, отображаемые в закладках, вкладках и прочих элементах интерфейса браузера. В качестве области хранения используется кэш Favicon, который выступает в роли «Supercookie». Изображения Favicon сохраняются браузерами в отдельном кэше, который не пересекается с другими кэшами, является общим для всех режимов работы и не очищается штатными средствами очистки кэша и истории посещений. Данная особенность позволяет использовать идентификатор даже при работе в режиме инкогнито и затрудняет его удаление. На идентификацию с использованием предложенного метода также не влияет применение VPN и дополнений для … Читать далее Метод идентификации браузера через манипуляции с кэшированием Favicon

Разработчики языка программирования Perl сообщили об успешном завершении процесса возвращения домена perl.com, который был захвачен посторонним лицом после компрометации учётной записи. Возвращение домена было усложнено тем, что после получение контроля над доменом атакующие несколько раз сменили регистратора — из области ответственности компании Network Solutions домен был переведён вначале китайскому регистратору Bizcn, а затем передан на обслуживание регистратору Key-Systems GmbH. Процесс восстановления начался с того, что компания Verisign вернула для домена perl.com корректные DNS-серверы (в выводе whois должны быть серверы *.bitnames.com). Теперь восстановление завершено, домен вернулся к регистратору Network Solutions, который обеспечил привязку perl.com к прежнему владельцу. Источник: http://www.opennet.ru/opennews/art.shtml?num=54551 Читать далее Сообщество вернуло контроль над доменом perl.com

Представлен релиз пользовательского дистрибутива PCLinuxOS 2021.02. Дистрибутив был основан в 2003 году на базе Mandrake Linux, но позднее ответвился в самостоятельный проект. Пик популярности PCLinuxOS пришёлся на 2010 год, в котором, по результатам опроса читателей журнала Linux Journal, PCLinuxOS уступал по популярности лишь Ubuntu (в рейтинге 2013 года PCLinuxOS уже занимал 10 место). Дистрибутив нацелен на использование в Live-режиме, но поддерживает и установку на жесткий диск. Для загрузки подготовлены загрузочные образы с рабочими столами KDE (полный 3.5 ГБ и сокращённый 1.5 ГБ), MATE (2.4 ГБ) и Xfce (2.2 ГБ). Отдельно сообществом развиваются сборки на базе рабочих столов Trinity, Openbox и … Читать далее Выпуск Linux-дистрибутива PCLinuxOS 2021.02

После трёх месяцев разработки и почти семи лет с момента прошлого значительного выпуска сформирован корректирующий релиз офисного пакета Apache OpenOffice 4.1.9, в котором предложено 6 исправлений. Готовые пакеты подготовлены для Linux, Windows и macOS. Изменения в новом выпуске: Исправлен некорректный сценарий удаления файлов, который при чистке командой «dmake clean» сборочного окружения мог привести к удалению всего дерева исходных файлов. Проблема была вызвана наличием в сценарии main/makefile.mk кода «rm -rf */$(INPATH)», который удалял лишнее в случае вызова в некорректно настроенном сборочном окружении, в котором не была установлена переменная окружения INPATH. Устранён крах, проявляющийся при открытии документов .docx, .xlsx и .pptx на … Читать далее Выпуск Apache OpenOffice 4.1.9 с исправлением неаккуратного использования «rm -rf»

Доступен выпуск проекта fheroes2 0.9, пытающегося воссоздать игру Heroes of Might and Magic II. Код проекта написан на С++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить, например, из демо-версии Heroes of Might and Magic II. За прошедший год разработки игра значительно приблизилась к оригиналу, а местами даже предлагает более широкие возможности. Основные новшества: Проведена большая работа по оптимизации. Переписаны тысячи строк кода и теперь, помимо исправленных сотен ошибок, игровой движок fheroes2 стал значительно быстрее работать на всех платформах. Производительность повысилась на 50% и игра работает значительно плавнее. Хоть это ещё далеко … Читать далее Выпуск движка Free Heroes of Might and Magic II 0.9

Подготовлен первый бета-выпуск FreeBSD 13.0. Выпуск FreeBSD 13.0-BETA1 доступен для архитектур amd64, powerpc64, powerpc64le, powerpcspe, aarch64 и riscv64. Дополнительно подготовлены образы для систем виртуализации (QCOW2, VHD, VMDK, raw) и облачных окружений Amazon EC2. Сборки для i386 и 32-разрядных плат ARM не сформированы. Примечания к выпуску со списком изменений пока ограничиваются пустым шаблоном, но из изменений, ранее намеченных для включения во FreeBSD 13.0, можно отметить: Осуществлён переход на унифицированную c Linux реализацию файловой системы ZFS от проекта OpenZFS. Среди возможностей, которые стали доступны во FreeBSD после перехода на OpenZFS: расширенная система квот, шифрование наборов данных, раздельный выбор классов распределения блоков (allocation … Читать далее Началось бета-тестирование FreeBSD 13.0

Опубликовано восьмое корректирующее обновление дистрибутива Debian 10, в которое включены накопившиеся обновления пакетов и устранены недоработки в инсталляторе. Выпуск включает 56 обновлений с устранением проблем со стабильностью и 45 обновлений с устранением уязвимостей. Из изменений в Debian 10.8 выделяется обновление до свежих стабильных версий пакетов dpdk, intel-microcode, nvidia-graphics-drivers, postgresql-11 и steam. Из репозиториев удалён пакет compactheader, так как он несовместим с поставляемой версией почтового клиента Thunderbird. Для загрузки и установки «с нуля» в ближайшие часты будут подготовлены установочные сборки, а также live iso-hybrid c Debian 10.8. Системы, установленные ранее и поддерживаемые в актуальном состоянии, получают обновления, присутствующие в Debian 10.8, … Читать далее Обновление Debian 10.8

Грег Кроа-Хартман (Greg Kroah-Hartman) опубликовал выпуски ядра Linux 4.4.256 и 4.9.256, которые сформированы специально для проверки корректности обработки значения цифры версии, не укладывающееся в однобайтовое значение. Изменения в опубликованных выпусках ограничиваются только увеличением номера версии в Makefile для того, чтобы проверить не возникнет ли проблем в пространстве пользователя. Изначально под счётчик номера версии в ядре было выделено 8-битовое значение, что делает вызов макроса KERNEL_VERSION(4, 4, 256) эквивалентным KERNEL_VERSION(4, 5, 0). Значение макроса KERNEL_VERSION, вычисляемого как «(((a) ‹‹ 16) + ((b) ‹‹ 8) + (c))», экспортируется в пространство пользователя в форме константы LINUX_VERSION_CODE, которая используется при проверке текущей версии ядра. Для … Читать далее Опубликованы ядра Linux 4.4.256 и 4.9.256 для тестирования переполнения 8-битового номера версии

В ядре Linux выявлено три уязвимости, которые потенциально позволяют локальному пользователю поднять свои привилегии в системе: Уязвимость (CVE-2021-26708) в реализации сокетов с адресацией AF_VSOCK, предназначенных для сетевого взаимодействия приложений гостевых систем и хостов. Проблема вызвана состоянием гонки при установке блокировок для обработки нескольких видов транспорта (VSOCK multi-transport). Выявивший уязвимость исследователь утверждает о создании рабочего эксплоита, позволяющего получить права root в Fedora Server 33, обойдя механизмы защиты SMEP (Supervisor Mode Execution Prevention) и SMAP (Supervisor Mode Access Prevention). Код эксплоита будет опубликован после повсеместного распространения обновлений. Уязвимость проявляется начиная с выпуска v5.5-rc1 и устранена в обновлении 5.10.13. В RHEL проблема проявляется … Читать далее Уязвимости в ядре Linux, затрагивающие реализации VSOCK, Futex и io_uring

Спустя девять лет с момента прошлого выпуска сформирован релиз набора GNU inetutils 2.0 с коллекцией сетевых программ, большая часть которых перенесена из BSD-систем. В частности, в состав входят inetd и syslogd, серверы и клиенты для ftp, telnet, rsh, rlogin, tftp и talk, а также типовые утилиты, такие как ping, ping6, traceroute, whois, hostname, dnsdomainname, ifconfig, logger и т.п. Среди изменений: В traceroute и ping реализован метод отправки запросов ICMP ECHOREQUEST, требующий меньших привилегий в GNU/Linux. В ifconfig добавлена поддержка смены MAC-адреса в GNU/Linux, добавлен вывод дополнительной статистики для BSD-систем и улучшена поддержка GNU/Hurd. В ftp добавлена поддержка формата «user@host» и … Читать далее Выпуск GNU inetutils 2.0

Компания Google ввела в строй новый сервис OSV (Open Source Vulnerabilities), предлагающий доступ к базе данных с информацией об уязвимостях в открытом ПО. Сервис предоставляет API, позволяющий автоматизировать формирование запросов для получения информации об уязвимостях, с привязкой к состоянию репозитория с кодом. Уязвимостям присваиваются отдельные OSV-идентификаторы, которые дополняют CVE расширенной информацией. В частности, в базе OSV отражён статус исправления проблемы, указаны коммиты с появлением и исправлением уязвимости, диапазон подверженных уязвимости версий, ссылки на репозиторий проекта с кодом и уведомление о проблеме. Основной целью создания OSV является упрощение процесса информирования мэйнтейнеров пакетов об уязвимостях, благодаря точному определению версий и коммитов, которые … Читать далее Google запустил сервис OSV (Open Source Vulnerabilities)

Доступны корректирующие выпуски Firefox 85.0.1 и Firefox ESR 78.7.1, в которых устранена критическая уязвимость, которая может привести к выполнению кода в системе при открытии определённым образом оформленного содержимого. Проблема вызвана переполнением буфера в библиотеке Angle с реализацией OpenGL ES, которая развивается проектом Chromium и выполняет функцию прослойки для трансляции вызовов OpenGL ES в OpenGL, Direct3D 9/11, Desktop GL и Vulkan. Из-за неверного расчёта размера параметров глубины для сжатых текстур, возникают условия обращения к области за границей выделенного буфера. Детали о проблеме пока не раскрываются. Из не связанных с безопасностью исправлений в Firefox 85.0.1 отмечаются: Запрещён доступ к специальным путям NTFS, … Читать далее Обновление Firefox 85.0.1 c устранением уязвимости. Начало активации Fission в ночных сборках

Компания Mozilla прекратит в настольной версии Firefox 86 поддержку экспериментального режима SSB (Site Specific Browser), позволявшего создать для сайта отдельный ярлык для запуска без элементов интерфейса браузера, с отдельным значком на панели задач, подобно полноценным приложениям ОС. Режим поддерживался, начиная с Firеfox 75, но позиционировался как экспериментальный и требовал отдельной активации в about:config. Функция будет отключена в выпуске Firefox 86. В качестве причины прекращения разработки функции представители Mozilla называют наличие нерешённых проблем, сомнительная польза для пользователей настольных систем, ограниченность ресурсов и желание направить их на развитие основных продуктов. Подобная функция для обособленного запуска приложений PWA (Progressive Web Apps) продолжает поддерживается … Читать далее Из Firefox 86 будет убрана функция открытия сайтов как отдельных приложений

Пользователи плат Raspberry Pi обсуждают включение в штатной операционной системе Raspberry Pi OS обращения к репозиторию компании Microsoft и добавление GPG-ключа Microsoft для доверительной установки пакетов. Репозиторий Microsoft добавляется пакетом raspberrypi-sys-mods, в котором поставляются специфичные для Raspberry Pi OS настройки и скрипты. Настройки /etc/apt/sources.list.d меняются скриптом post-inst и используются для установки среды разработки VSCode. Основные претензии связаны с тем, что репозиторий и ключ Microsoft добавлены без предупреждения пользователей. Подобное поведение представляет опасность по двум причинам. Во-первых, при любом обновлении сведений из репозиториев, осуществляемых при установке или обновлении пакетов, пакетный менеджер опрашивает все подключенные репозитории, т.е. на сервере Microsoft накапливается информация … Читать далее В Raspberry Pi OS по умолчанию включены репозиторий и ключ заверения пакетов Microsoft

Доступен выпуск проекта проекта aqtinstall 1.0, развивающего независимый от компании Qt Company загрузчик и установщик Qt, созданный в ответ на прекращение предоставления официальных оффлайновых установщиков. Версия 1.0 преподносится как первый выпуск, готовый к повсеместному использованию. Код проекта написан на языке Python и распространяется под лицензией MIT. Утилита aqtinstall автоматически загружает предварительно сформированные сборки Qt для заданной целевой платформы (Linux, macOS и Windows) и может применяться в окружениях с системами непрерывной интеграции (Github Actions, Travis-CI, CircleCI, Azure-Pipelines, AppVeyor и т.п.), в которых нет возможности запустить интерактивный установщик Qt. В новой версии добавлена опция «—noarchives«, позволяющая добавить ранее исключённые дополнительные модули Qt … Читать далее Первый стабильный выпуск aqtinstall, альтернативного установщика Qt

Сообщество Pine64 приняло решение отказаться от практики формирования Community-редакций смартфона PinePhone. Схема поставки Community Edition подразумевала продажу вариантов PinePhone, укомплектованных прошивками с различными мобильными окружениями, развиваемыми сообществом. Например, были выпущены модели с UBports, postmarketOS, Manjaro, KDE Plasma Mobile и Mobian. Новая стратегия подразумевает развитие PinePhone как целостной платформы, предлагающей по умолчанию базовое эталонное окружение и предоставляющей возможность быстрой смены прошивки на альтернативный вариант или загрузки системы с SD-карты. Какое пользовательское окружение станет первичным не сообщается, говорится лишь о том, что скоро будет готова операционная система, пригодная для повседневного применения. Из планов также упоминается подготовка аксессуара-надстройки с откидной или выдвижной клавиатурой. … Читать далее Проект Pine64 прекращает формирование редакций PinePhone Community Edition

Спустя два дня после публикации выпуска Chrome с устранением критической уязвимости, компания Google сформировала ещё одно обновление Chrome 88.0.4324.150, в котором исправлена уязвимость CVE-2021-21148, уже применяемая злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что уязвимость вызвана переполнением кучи в JavaScript-движке V8. Проблеме присвоен высокий, но не критический, уровень опасности, т.е. обозначено, что уязвимость не позволяет обойти все уровни защиты браузера и её недостаточно чтобы выполнить код в системе за пределами sandbox-окружения. Сама по себе уязвимость в Chrome не позволяет обойти sandbox-окружение и для полноценной атаки требуется применение ещё одной уязвимости в операционной системе. Некоторые аналитики предполагают, что … Читать далее Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-day уязвимостях в 2020 году

Сформировано обновление дистрибутива Ubuntu 20.04.2 LTS, в которое включены изменения, связанные с улучшением поддержки оборудования, обновлением ядра Linux и графического стека, исправлением ошибок в инсталляторе и загрузчике. В состав также включены актуальные обновления для нескольких сотен пакетов, связанные с устранением уязвимостей и проблем, влияющих на стабильность. Одновременно представлены аналогичные обновления Ubuntu Budgie 20.04.2 LTS, Kubuntu 20.04.2 LTS, Ubuntu MATE 20.04.2 LTS, Ubuntu Studio 20.04.2 LTS, Lubuntu 20.04.2 LTS, Ubuntu Kylin 20.04.2 LTS и Xubuntu 20.04.2 LTS. В состав выпуска включены некоторые улучшения, бэкпортированные из выпуска Ubuntu 20.10: Предложено обновление пакетов с ядром версии 5.8 (в Ubuntu 20.04 и 20.04.1 использовалось … Читать далее Выпуск Ubuntu 20.04.2 LTS c обновлением графического стека и ядра Linux

Представлено февральское сводное обновление приложений (20.12.1), развиваемых проектом KDE. Всего в рамках февральского обновления опубликованы выпуски 225 программ, библиотек и плагинов. Информацию о наличии Live-сборок с новыми выпусками приложений можно получить на данной странице. Наиболее заметные новшества в KDE Applications 20.12.2: Предложено новое приложение Kongress 1.0, предназначенное для сопровождения посетителей конференций. Программа позволяет просматривать расписание конференций и планировать посещение интересующих докладов. Доступен выпуск системы управления проектами Calligra Plan 3.3, позволяющей координировать выполнение задач, определять зависимости между проводимыми работами, планировать время выполнения, отслеживать состояние разных этапов разработки и управлять распределением ресурсов при разработке крупных проектов. Основные изменения в новой версии связаны … Читать далее Релиз KDE Applications 20.12.2

Состоялся релиз Linux-дистрибутива Solus 4.2, не основанного на пакетах других дистрибутивов и развивающего собственный рабочий стол Budgie, установщик, пакетный менеджер и конфигуратор. Код наработок проекта распространяется под лицензией GPLv2, для разработки используются языки Си и Vala. Дополнительно предоставляются сборки с рабочими столами GNOME, KDE Plasma и MATE. Размер iso-образов 1.8-2.1 ГБ (x86_64). Дистрибутив придерживается гибридной модели разработки, в соответствии с которой периодически выпускаются значительные выпуски, в которых предлагаются новые технологии и значительные улучшения, а в промежутке между значительными выпусками дистрибутив развивается с применением rolling-модели обновления пакетов. Для управления пакетами задействован пакетный менеджер eopkg (форк PiSi из Pardus Linux), предоставляющий привычные … Читать далее Выпуск дистрибутива Solus 4.2, развивающего рабочий стол Budgie

Доступна новая версия утилиты для получения и отправки данных по сети — curl 7.75.0, предоставляющей возможность гибкого формирования запроса с заданием таких параметров, как cookie, user_agent, referer и любых других заголовков. cURL поддерживает HTTP, HTTPS, HTTP/2.0, HTTP/3, SMTP, IMAP, POP3, SSH, Telnet, FTP, LDAP, RTSP, RTMP и другие сетевые протоколы. Одновременно вышло обновление параллельно развиваемой библиотеки libcurl, предоставляющей API для задействования всех функций curl в программах на таких языках, как Си, Perl, PHP, Python. Выпуск примечателен появлением возможности замены бэкендов для обработки протокола HTTP в curl и libcurl. В качестве опции в состав включён первый альтернативный HTTP-бэкенд Hyper, реализованный на … Читать далее Выпуск утилиты curl 7.75.0 с экспериментальным HTTP-бэкендом на языке Rust