Применяемый в Firefox JavaScript-движок SpiderMonkey переведён на использование обновлённой реализации регулярных выражений, основанной на актуальном коде Irregexp из JavaScript-движка V8, применяемого в браузерах на основе проекта Сhromium. Новая реализация RegExp будет предложена в выпуске Firefox 78, намеченном на 30 июня, и позволить реализовать в браузере все недостающие элементы ECMAScript, связанные с регулярными выражениями. Отмечается, что движок RegExp в SpiderMonkey оформлен в виде отдельного компонента, что делает его относительно независимым и пригодным для замены без необходимости внесения значительных изменений в кодовую базу. Модульность позволила в 2014 году заменить изначально применяемый в Firefox RegExp-движок YARR на форк движка Irregexp из V8. Irregexp … Читать далее Mozilla перешла на использование общего с Chromium движка регулярных выражений

Эрик Моквист (Erik Moqvist), автор платформы Simba и инструментария cantools, развивает новый дистрибутив Monolinux, ориентированный на создание встраиваемых Linux-систем для обособленного запуска определённых приложений, написанных на языке Си. Дистрибутив примечателен тем, что программная начинка оформляется в виде одного статически скомпонованного исполняемого файла, включающего все компоненты, необходимые для работы приложения (по сути дистрибутив составляет ядро Linux и ram-диск со статически собранным init-процессом, включающим в себя приложение и необходимые библиотеки). Код распространяется под лицензией MIT. В окружении предоставляются все подсистемы и системные вызовы ядра Linux, включая доступ к ФС, сетевой стек и драйверы устойств. Для связывания с приложением доступны такие библиотеки, как … Читать далее Monolinux — однофайловый дистрибутив, загружающийся на CPU ARMv7 528 MHz за 0.37 секунд

Опубликован значительный выпуск программы подбора паролей hashcat 6.0.0, претендующей на звание самой быстрой и функциональной в своей области. Hashcat предоставляет пять режимов подбора и поддерживает более 300 оптимизированных алгоритмов хэширования паролей. Вычисления при подборе могут распараллеливаться с привлечением всех имеющихся в системе вычислительных ресурсов, в том числи с использованием векторных инструкций CPU, GPU и других аппаратных ускорителей, поддерживающих OpenCL или CUDA. Возможно создание распределённой сети подбора. Код проекта распространяется под лицензией MIT. В новом выпуске: Новый интерфейс для подключения плагинов, позволяющий создавать модульные режимы хэширования; Новый API compute-backend для использования вычислительных бэкендов, отличных от OpenCL; Поддержка вычислительных систем на базе … Читать далее Выпуск программы подбора паролей hashcat 6.0.0

В Firefox и Chrome выявлена особенность обработки набранных в адресной строке поисковых запросов, которая приводит к утечке сведений через DNS-сервер провайдера. Суть проблемы в том, что если поисковый запрос состоит только из одного слова браузер вначале пытается в DNS определить наличие хоста с таким именем, полагая, что пользователь пытается открыть поддомен, и уже потом перенаправляет запрос поисковой системе. Таким образом, владелец DNS-сервера, указанного в настройках пользователя, получает сведения о состоящих из одного слова поисковых запросах, что оценивается как нарушение конфиденциальности. Проблем проявляется при использовании как DNS-сервера провайдера, так и сервисов «DNS over HTTPS» (DoH), в случае задания в настройках DNS-суффикса … Читать далее Утечка поисковых ключей через DNS в Firefox и Chrome

Доступен выпуск Wi-Fi демона IWD 1.8 (iNet Wireless Daemon), развиваемого компанией Intel в качестве альтернативы wpa_supplicant для организации подключения Linux-систем к беспроводной сети. IWD может использоваться как самодостаточно, так и выступать в качестве бэкенда для таких сетевых конфигураторов как Network Manager и ConnMan. Проект подходит для применения на встраиваемых устройствах и оптимизирован для минимального потребления памяти и дискового пространства. IWD не использует внешних библиотек и обращается только к возможностям, предоставляемым штатным ядром Linux (для работы достаточно ядра Linux и Glibc). В состав входит собственная реализация DHCP-клиента и набор криптографических функций. Код проекта написан на языке Си и поставляется под лицензией … Читать далее Выпуск Wi-Fi демона IWD 1.8

Представлен новый выпуск Dropbear 2020.79, легковесного сервера и клиента SSH, распространяемого под лицензией MIT и применяемого преимущественно на встраиваемых системах, таких как беспроводные маршрутизаторы. Dropbear отличается низким потреблением памяти (при статическом связывании с uClibc занимает всего 110kB), возможностью отключения лишней функциональности на этапе сборки и поддержкой сборки клиента и сервера в одном исполняемом файле по аналогии с busybox. Dropbear поддерживает перенаправление X11, совместим с файлом ключей OpenSSH (~/.ssh/authorized_keys) и может создавать мультисеодинения с пробросом через транзитный хост. В новом выпуске: Добавлена поддержка алгоритма цифровой подписи Ed25519 в hostkeys и authorized_keys. Добавлена поддержка протокола аутентификации на основе алгоритмов потокового шифра ChaCha20 … Читать далее Выпуск SSH-сервера Dropbear 2020.79

Представлен корректирующий релиз медиаплеера VLC 3.0.11, в котором устранены накопившиеся ошибки и устранена уязвимость (CVE-2020-13428), вызванная переполнением буфера в функции hxxx_AnnexB_to_xVC(). Уязвимость потенциально позволяет организовать выполнение кода атакующего при воспроизведении специально оформленного видео в формате H.264 (Annex-B), упакованного, например, в контейнер AVI. Упоминаний о создании рабочего эксплоита пока нет. Кроме проблем в коде VLC отмечается устранение двух уязвимостей (CVE-2020-9308, CVE-2019-19221) в библиотеке libarchive, встроенной в некоторые загрузочные наборы. Среди не связанных с безопасностью изменений отмечается улучшение воспроизведения файлов HLS и AAC, а также улучшение смены позиции в потоке для файлов M4A. В сборках для macOS решены проблемы, приводящие к нарушению … Читать далее Обновление медиапроигрывателя VLC 3.0.11 с устранением уязвимости

Доступен корректирующий выпуск GNOME 3.36.3, в который включены исправления ошибок, обновлена документация, улучшены переводы и внесены незначительные улучшения, направленные на увеличение стабильности. Из изменений выделяется: В браузере Epiphany возобновлён поиск тегов закладок в поле с URL. В менеджере виртуальных машин Boxes отключено создание VM с прошивками EFI. В gnome-control-center обеспечен показ кнопки добавления пользователя и панели с правами доступа, если пользователи не найдены. На рабочем столе обеспечено сохранение оригинального имени файла при создании миниатюр. В gnome-shell добавлена прослойка gnome-shell-extension-prefs, сокращён таймаут прокрутки в обзорном режиме и обеспечено сохранение настройки режиме «Не беспокоить» между перезапусками. В оконном менеджере Mutter реализовано определение … Читать далее Обновление GNOME 3.36.3 и KDE 5.19.1

Опубликовано обновление операционной системы Solaris 11.4 SRU 22 (Support Repository Update), в котором предложена серия очередных исправлений и улучшений для ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду ‘pkg update’. В новом выпуске помимо исправлений ошибок также обновлены версии следующих компонентов с открытым исходным кодом: Apache Tomcat 8.5.55 Apache Web Server 2.4.43 BIND 9.11.19 Firefox 68.8.0esr OpenLDAP 2.4.50 PHP 7.3 7.3.17 PHP 7.4 7.4.5 Thunderbird 68.8.0 Wireshark 3.2.4 libexif 0.6.22 squid 4.11 sqlite3 Источник: http://www.opennet.ru/opennews/art.shtml?num=53171 Читать далее Доступен Solaris 11.4 SRU22

В проприетарном TCP/IP стеке Treck, который применяется во многих промышленных, медицинских, коммуникационных, встраиваемых и потребительских устройствах выявлено 19 уязвимостей, эксплуатируемых через отправку специально оформленных пакетов. Уязвимостям присвоено кодовое имя Ripple20. Некоторые уязвимости также проявляются в TCP/IP-стеке KASAGO от компании Zuken Elmic (Elmic Systems), имеющем общие корни c Treck. Из крупных целей для атак, в которых используется TCP/IP-стек Treck, можно отметить сетевые принтеры HP, чипы Intel, а также оборудование Hewlett Packard Enterprise, Baxter, Caterpillar, Digi, Rockwell Automation и Schneider Electric. В том числе проблемы в TCP/IP-стеке Treck оказались причиной недавних удалённых уязвимостей в подсистемах Intel AMT и ISM, эксплуатируемых через отправку … Читать далее 19 удалённо эксплуатируемых уязвимостей в TCP/IP-стеке Treck

Спустя 11 месяцев после выпуска 11.3 и 7 месяцев с момента релиза 12.1 доступен релиз FreeBSD 11.4, который подготовлен для архитектур amd64, i386, powerpc, powerpc64, sparc64, aarch64 и armv6 (BEAGLEBONE, CUBIEBOARD, CUBIEBOARD2, CUBOX-HUMMINGBOARD, Raspberry Pi B, Raspberry Pi 2, PANDABOARD, WANDBOARD). Дополнительно подготовлены образы для систем виртуализации (QCOW2, VHD, VMDK, raw) и облачных окружений Amazon EC2. FreeBSD 11.4 станет последним выпуском в серии 11.x. Поддержка выпуска 11.3 будет прекращена через 3 месяца, а поддержка FreeBSD 11.4 и всей ветки 11-STABLE продлится до 30 сентября 2021 года. Релиз FreeBSD 12.2 ожидается 27 октября. Ключевые новшества: Компоненты Clang, libc++, compiler-rt, LLDB, LLD … Читать далее Релиз FreeBSD 11.4

В http-сервере, применяемом в SOHO-маршрутизаторах Netgear, выявлена уязвимость, позволяющая без прохождения аутентификации удалённо выполнить свой код с правами root и получить полный контроль за устройством. Для атаки достаточно возможности отправки запроса на сетевой порт, на которым выполняется web-интерфейс. Проблема вызвана отсутствием проверки размера внешних данных, перед их копированием в буфер фиксированного размера. Уязвимость подтверждена в различных моделях маршрутизаторов Netgear, в прошивках которых используется типовой уязвимый процесс httpd. Так как при работе со стеком в прошивках не применялись механизмы защиты, такие как установка канареечных меток, удалось подготовить стабильно работающий эксплоит, запускающий на 8888 порту обратный shell с root-доступом. Эксплоит адаптирован для … Читать далее 0-day уязвимость в устройствах Netgear, позволяющая удалённо получить root-доступ

Компания Qt Company опубликовала первый тестовый выпуск новой ветки Qt 6, в которой будут предложены значительные архитектурные изменения, а для сборки потребуется компилятор, поддерживающий стандарт C++17. Выпуск включает в себя только начальный каркас будущего релиза Qt 6, который намечен на 1 декабря 2020 года. Функциональность в ветке Qt 6 будет расширяться до объявления заморозки кодовой базы 31 августа. В состав первой тестовой сборки включены модули: Qt Core, Qt GUI, Qt Widgets, Qt Network, Qt QML, Qt Quick, Qt Quick Controls, Qt SVG, Qt Network Authorization, Qt SQL и Qt Test. Ключевые особенности Qt 6: Абстрагированный графический API, не зависящий от … Читать далее Первый тестовый выпуск Qt 6

Разработчики свободного антивирусного пакета ClamAV решили проблему с предоставлением базы сигнатур, основанной на распространяемой компанией Google коллекции Safe Browsing, содержащей сведения о сайтах, занимающихся фишингом и распространением вредоносного ПО. Ранее база сигнатур на основе Safe Browsing предоставлялась разработчиками ClamAV, но в ноябре прошлого года её обновление было прекращено из-за введённых компанией Google ограничений. В частности, условия использования Safe Browsing были ограничены только некоммерческим применением, а для коммерческих целей было предписано использовать отдельный API Google Web Risk. Так как ClamAV является свободным продуктом, который не может разделять пользователей и используется в том числе в коммерческих решениях, генерация сигнатур на основе Safe … Читать далее Доступна утилита для генерации базы сигнатур ClamAV на основе API Google Safe Browsing

После десяти месяцев разработки доступен мультимедиа-пакет FFmpeg 4.3, включающий набор приложений и коллекцию библиотек для операций над различными мультимедиа-форматами (запись, преобразование и декодирование звуковых и видеоформатов). Пакет распространяется под лицензиями LGPL и GPL, разработка FFmpeg ведётся смежно с проектом MPlayer. Из изменений, добавленных в FFmpeg 4.3, можно выделить: Добавлена поддержка графического API Vulkan; На базе Vulkan для Linux реализован кодировщик, использующий для ускорения движки AMD AMF/VCE, а также варианты типовых фильтров avgblur_vulkan, overlay_vulkan, scale_vulkan и chromaber_vulkan; Обеспечена возможность использования API VDPAU (Video Decode and Presentation) для аппаратного ускорение обработки видео в формате VP9; Добавлена возможность кодирования видео AV1 с использованием … Читать далее Выпуск мультимедиа-пакета FFmpeg 4.3 c поддержкой графического API Vulkan

Компания Blendo Games открыла исходные тексты квестов от первого лица Gravity Bone (2008), Thirty Flights of Loving (2012) и Quadrilateral Cowboy (2016). Gravity Bone и Thirty Flights of Loving открыты под лицензией GPLv2, а Quadrilateral Cowboy под GPLv3. Игровые ресурсы, такие как изображения, модели, текстуры и звуки, остаются проприетарными. Игры написаны на C/C++, используют движок idTech4 или idTech2 и поддерживают запуск в Linux, Windows и macOS. Источник: http://www.opennet.ru/opennews/art.shtml?num=53161 Читать далее Открыт код игр Gravity Bone, Thirty Flights of Loving и Quadrilateral Cowboy

Сообщество Pine64 анонсировало скорое начало приёма предзаказов на смартфон PinePhone postmarketOS Community Edition, укомплектованный прошивкой с мобильной платформой postmarketOS, базирующегося на Alpine Linux, Musl и BusyBox. Открытие предзаказов намечено на начало июля 2020 года. Стоимость смартфона составит 150 долларов. По умолчанию предлагается пользовательская оболочка Phosh, развиваемая компанией Purism для смартфона Librem 5 на основе технологий GNOME и Wayland. При желании пользователь может загрузить вариант прошивки с KDE Plasma Mobile, но чтобы не дублировать усилия при стабилизации postmarketOS Community Edition первичным окружением выбрано Phosh. Из особенностей прошивки отмечается применение нового инсталлятора, поддерживающего установку с шифрованием всех данных на накопителе (пароль для … Читать далее Представлена community-редакция смартфона PinePhone с postmarketOS

Представлен выпуск дистрибутива CentOS 2004, вобравший в себя изменения из Red Hat Enterprise Linux 8.2. Дистрибутив полностью бинарно совместим с RHEL 8.2, внесенные в пакеты изменения, как правило, сводятся к ребрендингу и замене художественного оформления. Сборки CentOS 2004 подготовлены (7 Гб DVD и 550 Мб netboot) для архитектур x86_64, Aarch64 (ARM64) и ppc64le. Пакеты SRPMS, на основе которых произведена сборка бинарных файлов, и debuginfo доступны через vault.centos.org. Помимо новых возможностей, появившихся в RHEL 8.2, в CentOS 2004 изменено содержимое 34 пакетов, среди которых anaconda, dhcp, firefox, grub2, httpd, kernel, PackageKit и yum. Внесенные в пакеты изменения, как правило, сводятся к … Читать далее Выпуск CentOS Linux 8.2 (2004)

Линус Торвальдс представил первый кандидат в релизы ядра Linux 5.8, отметив, что судя по всему это будет самое крупное из всех ядер за всё время существования проекта. В веку 5.8 принято 14206 наборов изменений, которые затронули примерно 20% всех файлов в репозитории с кодом ядра. Размер патча 5.8-rc1 составил 61 МБ, что примерно на 35% больше, чем результирующий патч от выпуска 5.7. Релиз ядра Linux 5.8 ожидается в конце августа. Изменения затронули 15234 файлов, добавлено 1026178 строк кода, удалено 480891 строк (для сравнения в ветке 5.7 было добавлено 570560 строк кода, а удалено 297401 строк). Около 37% всех представленных в … Читать далее Ядро Linux 5.8 станет самым крупным по числу изменений

Нэт Фридмэн (Nat Friedman), руководитель GitHub подтвердил намерение компании перейти по умолчанию на использование для основных веток имени «main» вместо «master» в знак солидарности с протестующими против полицейского насилия и расизма в США. Новое имя будет использовано только для новых репозиториев, в уже существующих проектах ветка «master» сохранит своё имя. Тем не менее, обсуждается возможность подготовки опции, которая по желанию отдельных разработчиков позволит автоматизировать переименование для существующих проектов. Обсуждение необходимости ухода от термина «master» развязано и в списке рассылки разработчиков Git. Пока активными сторонниками данной идеи являются лишь отдельные активисты, а большинство разработчиков выступают против, тем более, что в Git … Читать далее GitHub решил отказаться от имени «master» для основных веток

Разработчики проекта KDE намерены активировать по умолчанию альтернативную раскладку панели задач, отображаемой внизу экрана и предоставляющей навигацию по открытым окнам и запущенным приложениям. Вместо традиционных кнопок с названием программы планируется перейти к отображению только крупных квадратных пиктограмм (46px), реализованных по аналогии с панелью Windows. Данный вариант опционально поддерживается в панели уже достаточно давно, но теперь его хотят включить по умолчанию, а классическую раскладку перевести в разряд опций. Более того, вместо раздельных кнопок для разных окон планируют включить группировку по приложениям, т.е. все окна одного приложения будут представлены только одной раскрывающейся кнопкой (например, при открытии нескольких окон Firefox в панели будет … Читать далее В KDE Plasma 5.20 будет кардинально изменено оформление панели задач по умолчанию