Компания Mozilla предоставила возможность тестирования сервиса Firefox Relay для всех желающих. Если ранее доступ к Firefox Relay можно было получить только по приглашениям, то теперь он доступен любому пользователю через учётную запись в Firefox Account. Firefox Relay позволяет генерировать временные почтовые адреса для прохождения регистрации на сайтах, чтобы не афишировать свой реальный адрес. Всего можно сгенерировать до 5 уникальных анонимных псевдонимов, письма на которые будут перенаправлены на реальный адрес пользователя. Сгенерированный email можно использовать для входа на сайты или для подписок. Для определённого сайта можно сгенерировать отдельный псевдоним и в случае поступления спама станет ясно какой ресурс является источником утечки. … Читать далее Общедоступное тестирование сервиса анонимных email-адресов Firefox Relay

В chrony, реализации протокола NTP, применяемой для синхронизации точного времени в большинстве дистрибутивов Linux, выявлена уязвимость (CVE-2020-14367), позволяющая перезаписать любой файл в системе, имея доступ к локальному непривилегированному пользователю chrony. Уязвимость может быть эксплуатирована только через пользователя chrony, что снижает её опасность. Тем не менее, проблема компрометирует уровень изоляции в chrony и может использоваться в случае выявление другой уязвимости в коде, выполняемом после сброса привилегий. Уязвимость вызвана небезопасным созданием pid-файла, который создавался на этапе, когда chrony ещё не сбросил привилегии и выполняется с правами root. При этом каталог /run/chrony, в который записывается pid-файл, создавался с правами 0750 через systemd-tmpfiles или … Читать далее Уязвимость в chrony

Проектом ZweiStein подготовлен ремейк головоломки Einstein (Flowix Games), которая в свою очередь является ремейком головоломки Sherlock, написанной для DOS. Программа снабжена текстовым интерфейсом пользователя (TUI) и использует символы Unicode. Игра написана на языке С++ и распространяется под лицензией GPLv3. Для Linux подготовлена скомпилированная версия (AMD64). Цели ремейка: Избавиться от меню и вещей, которые в игре-головоломке не несут полезной нагрузки (сохранение, таблица рекордов) и лишь отдаляют игрока от собственно игры. Flowix-вариант написан с учётом прямоугольных пропорций экрана и выглядит не очень хорошо на мониторах с другими характеристиками. Также игра затруднена на современных мониторах высокого разрешения в неполноэкранном режиме. В перспективе планируется … Читать далее Релиз ZweiStein, TUI-реализации головоломки Эйнштейна

Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.22 и 9.16.6, а также находящейся в разработке экспериментальной ветки 9.17.4. В новых выпусках устранено 5 уязвимостей. Наиболее опасная уязвимость (CVE-2020-8620) позволяет удалённо вызвать отказ в обслуживании через отправку определённого набора пакетов на TCP-порт, на котором принимает соединения BIND. Отправка на TCP-порт аномально больших запросов AXFR, может привести к тому, что обслуживающая TCP-соединение библиотека libuv передаст серверу размер, приводящий к срабатыванию проверки assertion и завершению процесса. Другие уязвимости: CVE-2020-8621 — атакующий может инициировать срабатывание проверки assertion и экстренное завершение резолвера при попытке минимизации QNAME после перенаправления запроса. Проблема проявляется только на серверах с … Читать далее Обновление DNS-сервера BIND 9.11.22, 9.16.6, 9.17.4 с устранением 5 уязвимостей

Компания Microsoft объявила о предоставлении поддержки подсистемы WSL2 (Windows Subsystem for Linux) в выпусках Windows 10 — 1903 и 1909, сформированных в мае и ноябре прошлого года. Изначально подсистема WSL2, обеспечивающая запуск исполняемых файлов Linux в Windows, была предложена в выпуске Windows 10 2004. Теперь Microsoft перенёс данную подсистему в прошлые обновления Windows 10, которые остаются актуальными и используются на многих предприятиях. Портирование в данные выпуски WSL2 позволит организовать эффективное выполнение Linux-окружения без необходимости перехода на Windows 10 2004 (сопровождение выпусков 1903 и 1909 продлится до декабря 2020 года и мая 2022 года). Напомним, что редакция WSL2 отличается поставкой полноценного … Читать далее Microsoft портировал подсистему WSL2 (Windows Subsystem for Linux) в Windows 10 1903 и 1909

Разработчики Chrome экспериментируют с использованием языка Rust. Работа ведётся в рамках инициативы по предотвращению появления ошибок работы с памятью в кодовой базе Chrome. В настоящее время работа ограничивается созданием прототипов средств для использования Rust. Первой задачей, которую необходимо решить до того, как начать полноценно использовать Rust в кодовой базе Chrome, называется обеспечение переносимости между кодом на C++ и Rust. В обозримом будущем язык C++ останется первичным в Chrome, поэтому основное внимание в проводимых экспериментах уделяется возможностям по вызову существующих C++ функций из кода на Rust и безопасному способу передачи типов между Rust и C++. В качестве основного решения для организации … Читать далее Разработчики Chrome экспериментируют с языком Rust

Компания Guardicore, специализирующаяся на защите датацентров и облачных систем, выявила новое высокотехнологичное вредоносное ПО FritzFrog, поражающее серверы на базе Linux. FritzFrog сочетает в себе червь, распространяющийся через bruteforce-атаку на серверы с открытым портом SSH, и компоненты для построения децентрализованного ботнета, работающего без управляющих узлов и не имеющего единой точки отказа. Для построения ботнента применяется собственный P2P-протокол, в котором узлы взаимодействуют между собой, координируют организацию атак, поддерживают работу сети и контролируют состояние друг друга. Новые жертвы находятся путём проведения bruteforce-атаки на серверы, принимающие запросы по SSH. При обнаружении нового сервера выполняется перебор по словарю типовых сочетаний из логинов и паролей. Управление … Читать далее Выявлен червь FritzFrog, поражающий серверы по SSH и строящий децентрализованный ботнет

Опубликовано обновление операционной системы Solaris 11.4 SRU 24 (Support Repository Update), в котором предложена серия очередных исправлений и улучшений для ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду ‘pkg update’. В новом выпуске: До версии 20.2 обновлён Oracle Explorer, инструментарий для построения детального профиля конфигурации и состояния системы; Добавлена поддержка накопитеоей SAMSUNG 7.68TB (MS9AC2DD2SUN7.6T) и 200GB (MS9AC2DD6SUN200G); В состав включён движок SpiderMonkey 60; Добавлены Python-пакеты pyrsistent, chardet и bcrypt, а также пакеты iso8601, netaddr и pycups для Python 3.7; Обновлены версии 87 программ, включая GNOME 3.34, Erlang 22.2.8, GCC 9.3, GNU screen 4.8.0, LLVM/Clang 10.0.0, Node.js … Читать далее Доступен Solaris 11.4 SRU24

Опубликованы корректирующие выпуски пакета Icinga Web 2.6.4, 2.7.4 и v2.8.2, предоставляющего web-интерфейс для системы мониторинга Icinga. В предложенных обновлениях устранена критическая уязвимость (CVE-2020-24368), позволяющая неаутентифицированному атакующему получить доступ к файлам на сервере с привилегиями процесса Icinga Web (обычно пользователь, под которыми выполняется http-сервер или fpm). Для успешной атаки требуется наличие одного из сторонних модулей, поставляемого с изображениями или пиктограммами. Среди подобных модулей отмечаются Icinga Business Process Modeling, Icinga Director, Icinga Reporting, Maps Module и Globe Module. Сами по себе в данных модулях нет уязвимостей, но они являются факторами, позволяющими организовать атаку на Icinga Web. Атака осуществляется через отправку запросов HTTP … Читать далее Уязвимость в интерфейсе мониторинга Icinga Web

Исследователи из Рурского университета в Бохуме (Германия) проанализировали (PDF) поведение почтовых клиентов при обработке ссылок «mailto:» с расширенными параметрами. Пять из двадцати рассмотренных почтовых клиентов оказались уязвимы для атаки, манипулирующей подстановкой ресурсов при помощи параметра «attach». Ещё шесть почтовых клиентов были подвержены атаке по замене ключей PGP и S/MIME, а три клиента оказались уязвимы для атаки по извлечению содержимого зашифрованных сообщений. Ссылки «mailto:» применяются для автоматизации открытия почтового клиента с целью написания письма заданному в ссылке адресату. Кроме адреса в составе ссылки можно указать дополнительные параметры, такие как тема письма и шаблон типового содержимого. Предложенная атака манипулирует параметром «attach», позволяющем … Читать далее Атака на пользователей почтовых клиентов при помощи ссылок «mailto:»

Компания Mozilla объявила о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в Firefox. Помимо непосредственно уязвимостей, программа Bug Bounty теперь будет охватывать и методы обхода имеющихся в браузере механизмов, препятствующих работе эксплоитов. В число подобных механизмов входит система чистки фрагментов HTML перед использованием в привилегированном контексте, разделение памяти для узлов DOM и строк/ArrayBuffers, запрет eval() в системном контексте и родительском процессе, применение жёстких ограничений CSP (Content Security Policy) к служебным страницам «about:», запрет загрузки в родительском процессе страниц, отличных от «chrome://», «resource://» и «about:», запрет выполнения внешнего JavaScript-кода в родительском процессе, обход механизмов разделения привилегированного (используется … Читать далее Mozilla расширила программу выплаты вознаграждений за выявление уязвимостей

Основная команда разработчиков языка Rust (Rust Core Team) и компания Mozilla объявили о намерении до конца года создать независимую некоммерческую организацию Rust Foundation, которой будут передана связанная с проектом Rust интеллектуальная собственность, в том числе торговые марки и доменные имена, ассоциируемые с Rust, Cargo и crates.io. Организация также будет отвечать за организацию финансирования проекта. Напомним, что Rust изначально развивался как проект подразделения Mozilla Research, который в 2015 году был преобразован в самостоятельный проект с независимым от Mozilla управлением. Несмотря на то, что с тех пор Rust развивается автономно, финансовое и юридическое сопровождение предоставлялось компанией Mozilla. Теперь данные операции будут переданы … Читать далее Анонсировано создание независимой от Mozilla организации Rust Foundation

Опубликована новая версия проекта OpenRCT2, развивающего открытую реализацию стратегической игры RollerCoaster Tycoon 2, симулирующей конструирование парка развлечений и управление им. Код OpenRCT2 поставляется под лицензией GPLv3. Новый выпуск примечателен поддержкой подключения собственных плагинов на JavaScript, возможностью импорта сценариев в формате «.sea» (RCT Classic), реализацией некоторых возможностей из первой игры RollerCoaster Tycoon. Кроме непосредственно аттракционов, игра OpenRCT2 охватывает также элементы инфраструктуры, такие как магазины и кафе. Задачей игрока является получение прибыли, поддержание хорошего имиджа и привлечение посетителей. Из отличий от RollerCoaster Tycoon 2 выделяется поддержка современных платформ, улучшенный интерфейс, повышение качества искусственного интеллекта гостей и персонала, дополнительные инструменты редактирования и возможность … Читать далее Выпуск игры OpenRCT2, предлагающей симулятор парка аттракционов

Представлена новая редакция дистрибутива MX Linux 19.2, поставляемая с рабочим столом KDE (в основной редакции поставляется Xfce). Это первая официальная сборка с рабочим столом KDE в семействе MX/antiX, созданная после сворачивания пректа MEPIS в 2013 году. Напомним, что дистрибутив MX Linux создан в результате совместной работы сообществ, образовавшихся вокруг проектов проектов antiX и MEPIS. Выпуск основан на пакетной базе Debian с улучшениями от проекта antiX и многочисленными собственными приложениями, облегчающими настройку и установку ПО. Для загрузки доступна 64-разрядная сборка, размером 2.1 GB (x86_64). Сборка включает в себя типовые утилиты MX, antiX-live-usb-system и поддержку работы со снапшотами. В базовой поставке предложены … Читать далее Доступна редакция дистрибутива MX Linux 19.2 с рабочим столом KDE

Доступен релиз дистрибутива Parrot 4.10, основанный на пакетной базе Debian Testing и включающий подборку инструментов для проверки защищённости систем, проведения криминалистического анализа и обратного инжиниринга. Для загрузки предложены несколько iso-образов с окружением MATE (полный 4.2 ГБ и сокращённый 1.8 ГБ), с рабочим столом KDE (2 ГБ) и с рабочим столом Xfce (1.7 ГБ). Дистрибутив Parrot позиционируется как переносная лаборатория с окружением для экспертов по безопасности и криминалистов, основное внимание в которой уделяется средствам для проверки облачных систем и устройств интернета-вещей. В состав также включены криптографические инструменты и программы обеспечения защищённого выхода в сеть, в том числе предлагаются TOR, I2P, anonsurf, … Читать далее Выпуск дистрибутива Parrot 4.10 с подборкой программ для проверки безопасности

Компания Google сообщила о появлении в будущем выпуске Chrome 86 защиты от небезопасной отправки web-форм. Защита касается форм, отображаемых на страницах, загруженных по HTTPS, но отправляющих данные без шифрования по HTTP, что создаёт угрозу перехвата и подмены данных при совершении MITM-атак. Для подобных смешанных web-форм реализовано три изменения: Отключено автозаполнение любых смешанных форм ввода, по аналогии с тем, как уже достаточно давно отключено автозаполнение форм аутентификации на страницах, открываемых по HTTP. Если ранее признаком для отключения служило открытие страницы с формой по HTTPS или HTTP, теперь также будет учитываться применение шифрования при отправке данных обработчику формы. Работа менеджера паролей, позволяющего … Читать далее В Chrome 86 появится защита от небезопасной отправки web-форм

Разработчики проекта KDE опубликовали релиз видеоредактора Kdenlive 20.08, который позиционируется для полупрофессионального использования, поддерживает работу с видеозаписями в форматах DV, HDV и AVCHD, и предоставляет все базовые операции по редактированию видео, например, позволяет используя шкалу времени произвольно смешивать видео, звук и изображения, а также применять многочисленные эффекты. При работе программы используются такие внешние компоненты, как FFmpeg, фреймворк MLT и система оформления эффектов Frei0r. Для установки подготовлен самодостаточный пакет в формате AppImage. В новом выпуске: Предложено несколько рабочих пространств с разными вариантами компоновки элементов интерфейса для каждой стадии производства видео: Журналирование (Logging) — для оценки отснятого контента и добавления меток для … Читать далее Релиз видеоредактора Kdenlive 20.08

Сообщество Libretro, занимающееся разработкой эмулятора игровых консолей RetroArch и дистрибутива для создания игровых консолей Lakka, предупредило о взломе элементов инфраструктуры проекта и вандализме в репозиториях. Злоумышленники смогли получить доступ к сборочному серверу (buildbot) и репозиториям на GitHub. На GitHub злоумышленники получили доступ ко всем репозиториям организации Libretro, воспользовавшись учётной записью одного из доверенных участников проекта. Активность злоумышленников ограничилась вандализмом — они попытались очистить содержимое репозиториев через помещение пустого начального коммита. В ходе атаки были очищены все репозитории, представленные на трёх из девяти страницах со списками репозиториев Libretro на Github. К счастью, акт вандализма был блокирован разработчикам до того как атакующие … Читать далее Взлом сборочного сервера и компрометация репозиториев сообщества Libretro, развивающего RetroArch

Разработчики Notepad++, свободного (GPLv3) редактора кода для платформы Windows, сообщили о введении блокировки проекта на территории Китая. Несмотря поддержку только платформы Windows, редактор Notepad++ пользуется большой популярностью у пользователей Ubuntu и занимает 5 место среди самых популярных snap-пакетов для разработчиков (запускается через Wine). Предполагается, что причиной блокировки Notepad++ стало участие проекта в акциях против дискриминации уйгуров и в поддержку протестующих в Гонконге. В частности, последний выпуск 7.8.9 был помечен как редакция в поддержку свободы и автономии Гонконга, а выпуски с 7.8.1 по 7.8.3 поставлялись с призывом против притеснения уйгуров. Источник: http://www.opennet.ru/opennews/art.shtml?num=53559 Читать далее Notepad++ заблокирован в Китае

В рамках проекта Kosmonaut развивается браузерный движок, написанный целиком на языке Rust и использующий некоторые наработки проекта Servo. Код распространяется под лицензией MPL 2.0 (Mozilla Public License). Для отрисовки используются OpenGL-привязки gl-rs на языке Rust. Управление окнами и создание контекста OpenGL реализовано силами библиотеки Glutin. Для разбора HTML и CSS применяются компоненты html5ever и cssparser, развиваемые проектом Servo. Код для работы с DOM основан на наработках проекта Kuchiki, развивающего библиотеку для манипуляций с HTML/XML. Среди используемых проектов также упоминается экспериментальный web-движок Robinson, который около 5 лет находится в полузаброшенном состоянии. На текущем этапе развития обеспечена базовая поддержка HTML и ограниченный … Читать далее Представлен браузерный движок Kosmonaut, написанный на языке Rust

Константин Комаров, основатель и руководитель компании Paragon Software, опубликовал в списке рассылки ядра Linux набор патчей с полноценной реализацией файловой системы NTFS, поддерживающей работу в режиме чтения и записи.Код открыт под лицензией GPL. Реализация поддерживает все возможности актуальной версии NTFS 3.1, включая расширенные атрибуты файлов, режим сжатия данных, эффективную работу с пустотами в файлах и воспроизведение изменений из журнала для восстановления целостности после сбоев. В предложенном драйвере пока используется собственная реализация журнала NTFS, но в дальнейшем планируется добавить поддержку полного журналирования поверх имеющегося в ядре универсального блочного устройства JBD (Journaling block device), на базе которого организовано журналирование в ext3, ext4 … Читать далее Компания Paragon Software опубликовала GPL-реализацию NTFS для ядра Linux